按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

WordPress 外掛程式含有嚴重 RCE 漏洞,下載次數超過 9 萬次

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-12-27
  • 點閱次數:5288
WordPress_外掛程式含有嚴重_RCE_漏洞,下載次數超過_9_萬次

一個名為 Nex Team 的資安專家團隊,近日發現一個存於 WordPress 備份用外掛程式 Backup Migration 中的嚴重漏洞,駭侵者可藉以遠端執行任意程式碼。

該漏洞的 CVE 編號為 CVE-2023-6553,其危險程度評分高達 9.8 分(滿分為 10 分);危險程度評級亦達最嚴重的「嚴重」(Critical)等級。該漏洞可讓駭侵者以相對簡易且無需通過身分認證的方式,即可利用特製的連線要求,在 /includes/backup-heart.php 檔案中注入 PHP 程式碼,進而遠端執行任意程式碼,並取得遭駭 WordPress 網站的控制權。

該漏洞影響 Backup Migration 外掛程式的所有版本,包括 Backup Migration 1.3.7 在內。據 WordPress 外掛程式目錄頁面上的統計指出,該外掛程式的下載安裝次數已超過 9 萬次。

Nex Team 是在由 WordPress 資安廠商 Wordfence 舉辦的漏洞懸賞大賽中提報本漏洞的,而 Wordfence 在接獲漏洞通報後,已於第一時間(12 月 6 日)立即通報給該外掛程式的開發單位 BackupBliss,且開發者也在數小時後緊急推出更新版本 Bakcup Migrarion 1.3.8,更新速度十分快速。

但另一方面,根據 WordPress.org 上 Backup Migration 外掛程式下載頁面上的資訊,在 Backup Migration 推出新版後,仍有近 5 萬個採用該外掛的 WordPress 網站,尚未更新到已修復該漏洞的新版本,因此這些 WordPress 網站仍曝露在極高的駭侵風險之下。

建議採用該外掛程式的 WordPress 網站,應盡速更新到最新版本。

回頁首