WordPress 主题 Avada 修复任意文件上传漏洞,请尽快更新

ThemeFusion 的多用途 WordPress 主题Avada已修复任意文件上传漏洞。Avada 是 ThemeForest 最受欢迎的优质主题之一,销量接近 95 万。

Muhammad Zeeshan (Xib3rR4dAr) 在Wordfence的 Bug Bounty Extravaganza期间负责任地报告了此漏洞,并为他赢得了 2,751 美元。研究人员将其归类为“高度严重”问题,CVSS 评分为 8.8,并强烈建议更新主题。

Avada 主题容易受到任意文件上传的攻击,因为在 7.11.4 及之前的所有版本中,ajax_import_options() 函数中缺少文件类型验证。这使得具有贡献者级别及以上访问权限的经过身份验证的攻击者可以在受影响站点的服务器上上传任意文件,这可能使远程代码执行成为可能

该漏洞的性质允许攻击者上传任意恶意 PHP 代码并在服务器上远程执行代码。即使上传的文件被删除,攻击者仍然可以上传多个大文件,因为文件扩展名没有限制。

Muhammad Zeeshan 于 2 月 6 日联系了 ThemeFusion 团队,并于 2 月 12 日发布了主题的补丁版本。我们敦促所有 Avada 用户立即将其网站更新到主题 7.11.5 最新版本。

给TA赏糖
共{{data.count}}人
人已赏糖
行业资讯

Vision Pro可能需要几年时间才能进行重大硬件升级

2024-3-1 12:07:10

行业资讯

自动驾驶功能宕机,竟是因为2月有29天?

2024-3-1 17:28:47

7 条回复 A文章作者 M管理员
  1. 飞鱼岛主

    这个主题我之前使用过

  2. 什么都喜欢

    这个主题我用过,不错的。

  3. 飞鱼岛主

    这个主题挺便宜

  4. 什么都喜欢

    庄家八方劝世人

  5. paytest

    这个我也很喜欢

  6. paytest

    安全很重要

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索