按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

WordPress 熱門外掛 Fancy Product Designer 遭發現嚴重 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-06-03
  • 點閱次數:2931
WordPress 熱門外掛 Fancy Product Designer 遭發現嚴重 0-day 漏洞 TWCERT/CC

資安廠商發現 WordPress 熱門外掛程式 Fancy Product Designer 存有一個可讓駭侵者遠端執行任意程式碼的 0-day 嚴重漏洞;目前已觀測到大量使用該漏洞進行的攻擊事件,WordPress 有安裝該外掛的用戶,應特別提高警覺。

資安廠商 WordFence 日前發表研究報告,指出該公司發現 WordPress 一支熱門外掛程式 Fancy Product Designer,存有一個可讓駭侵者遠端執行任意程式碼的 0-day 嚴重漏洞。

Fancy Product Designer 是一個讓 WordPress、WooCommerce 與 Shopify 用戶以視覺方式設計商品頁面版面配置的外掛程式,據估計有超過 17,000 個網站都安裝了 Fancy Product Designer。

被發現的 0-day 漏洞,其 CVE 編號為 CVE-2021-24370,CVSS 嚴重程度評分高達 9.8 分(滿分為 10 分),屬於最高的嚴重等級;該漏洞存於 Fancy Product Designer 在處理上傳 PDF 或影像檔案時的安全掃瞄能力不足,駭侵者可以輕易跳過安全檢查流程,並且上傳惡意的 php 程式檔案到裝有 Fancy Product Designer 的網站,不但可以執行任意程式碼,更能讓駭侵者奪取網站的控制權。

WordFence 說,安裝了 Fancy Product Designer 的 WordPress 和 WooCommerce 網站,會受到這個 0-day 漏洞的影響,但安裝此外掛的 Shopify 網站,得益於其較嚴格的資安控制,並不會受此漏洞波及。

WordFence 自 5 月 16 日起觀測到大量使用該漏洞進行的攻擊事件,也在第一時間通報 Fancy Product Designer 的開發者,但由於這個漏洞屬於 0-day 漏洞,因此目前尚無新版的 Fancy Product Designer 可供下載;現階段的暫時處理方式,就是徹底移除 Fancy Product Designer,直到資安修補版本推出為止。

  • CVE編號:CVE-2021-24370
  • 影響產品/版本:Fancy Product Designer 4.6.8 及之前所有版本
  • 解決方案:在更新版本推出前,應徹底移除 Fancy Product Designer
回頁首