資安廠商 Patchstack 旗下的資安研究分析人員，日前發現廣受歡迎的 WordPress 外掛程式 Jupiter X，內含兩個嚴重漏洞 CVE-2023-38388 和 CVE-2023-38389，可導致使用者的帳號遭竊，網站遭不當上傳檔案。

Jupiter X Core 是一個十分簡單好用的視覺化編輯器，屬於 Jupiter X 佈景主題的一部分，可以讓使用者快速設計好 WordPress 與 WooCommerce 網站的外觀；目前使用該佈景主題的 WordPress 與 WooCommerce 網站約有 170,000 個。

Patchstack 的報告中指出，第一個漏洞 CVE-2023-38388 可讓駭侵者未經登入驗證即上傳任意檔案到 WordPress 網站中，可用以在伺服器上執行任意程式碼；該漏洞的 CVSS 危險程度評分高達 9.0 分（滿分為 10 分），所有 Jupiter X Core 3.3.5 之前版本都含有這個漏洞。

至於第二個漏洞 CVE-2023-30389 則可讓未經授權的駭侵者，只要持有任何 WordPress 帳號登入時使用的 Email 地址，即可竊取該帳號的登入權限。該漏洞的 CVSS 危險程度評分更高達 9.8 分，影響所有 Jupiter X Core 3.3.8 之前的版本。

截至目前為止，資安廠商尚未發現有駭侵者利用這兩個漏洞大規模發動攻擊的跡象；而針對這兩個漏洞，開發廠商也已經緊急推出新版 Jupiter X Core 3.4.3，順利修復漏洞。