wpDiscuz 是一款广泛使用的 WordPress 插件，活跃安装量超过 80,000 个。该漏洞被追踪为 CVE-2024-9488，CVSSv3 得分为 9.8，未经身份验证的攻击者可利用该漏洞劫持用户账户，包括具有管理权限的账户。

wpDiscuz 因其交互式评论功能和用户参与工具而闻名，已成为许多 WordPress 网站的主要工具。然而，这个新发现的漏洞给它的受欢迎程度蒙上了一层阴影。该漏洞源于社交登录过程中用户身份验证不足。攻击者如果能获得用户的电子邮件地址并利用这一弱点，就有可能在未经授权的情况下访问用户的账户。

这对安全的影响非常严重：利用 CVE-2024-9488 的攻击者可以完全访问网站的管理功能，从而有可能更改内容、安装恶意插件，甚至锁定合法用户。wpDiscuz 的参与增强功能可能会突然成为数据盗窃、内容篡改和其他形式网络犯罪的工具。

所有使用 wpDiscuz 的网站都需要采取紧急行动。开发人员已在 7.6.25 版中解决了这一漏洞。强烈建议网站管理员立即更新到该版本。

除更新插件外，网站所有者还应考虑：

密码审查： 鼓励用户更改密码，尤其是使用社交登录的用户。

双因素身份验证： 实施双因素身份验证，为用户账户增加一层额外的安全保护。

定期安全审计： 定期进行安全审计和漏洞扫描，以发现并解决潜在的薄弱环节。

分享到：

赞 (0) 打赏 搜一下