按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

WordPress 外掛程式 Jupiter X Core 內含嚴重漏洞,可導致帳號被盜

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-08-28
  • 點閱次數:8834
WordPress 外掛程式 Jupiter X Core 內含嚴重漏洞,可導致帳號被盜 twcertcc

資安廠商 Patchstack 旗下的資安研究分析人員,日前發現廣受歡迎的 WordPress 外掛程式 Jupiter X,內含兩個嚴重漏洞 CVE-2023-38388 和 CVE-2023-38389,可導致使用者的帳號遭竊,網站遭不當上傳檔案。

Jupiter X Core 是一個十分簡單好用的視覺化編輯器,屬於 Jupiter X 佈景主題的一部分,可以讓使用者快速設計好 WordPress 與 WooCommerce 網站的外觀;目前使用該佈景主題的 WordPress 與 WooCommerce 網站約有 170,000 個。

Patchstack 的報告中指出,第一個漏洞 CVE-2023-38388 可讓駭侵者未經登入驗證即上傳任意檔案到 WordPress 網站中,可用以在伺服器上執行任意程式碼;該漏洞的 CVSS 危險程度評分高達 9.0 分(滿分為 10 分),所有 Jupiter X Core 3.3.5 之前版本都含有這個漏洞。

至於第二個漏洞 CVE-2023-30389 則可讓未經授權的駭侵者,只要持有任何 WordPress 帳號登入時使用的 Email 地址,即可竊取該帳號的登入權限。該漏洞的 CVSS 危險程度評分更高達 9.8 分,影響所有 Jupiter X Core 3.3.8 之前的版本。

截至目前為止,資安廠商尚未發現有駭侵者利用這兩個漏洞大規模發動攻擊的跡象;而針對這兩個漏洞,開發廠商也已經緊急推出新版 Jupiter X Core 3.4.3,順利修復漏洞。

正在使用 Jupiter X 佈景主題的使用者,應立即將其中的 Jupiter Core X 更新到最新 3.4.3 版本,以免遭駭侵者利用已知漏洞發動攻擊。

回頁首