close

_19_2023.08.26_WordPress_外掛程式_Jupiter_X_Core_內含嚴重漏洞,可導致帳號被盜

資安廠商 Patchstack 旗下的資安研究分析人員,日前發現廣受歡迎的 WordPress 外掛程式 Jupiter X,內含兩個嚴重漏洞 CVE-2023-38388 和 CVE-2023-38389,可導致使用者的帳號遭竊,網站遭不當上傳檔案。

Jupiter X Core 是一個十分簡單好用的視覺化編輯器,屬於 Jupiter X 佈景主題的一部分,可以讓使用者快速設計好 WordPress 與 WooCommerce 網站的外觀;目前使用該佈景主題的 WordPress 與 WooCommerce 網站約有 170,000 個。

Patchstack 的報告中指出,第一個漏洞 CVE-2023-38388 可讓駭侵者未經登入驗證即上傳任意檔案到 WordPress 網站中,可用以在伺服器上執行任意程式碼;該漏洞的 CVSS 危險程度評分高達 9.0 分(滿分為 10 分),所有 Jupiter X Core 3.3.5 之前版本都含有這個漏洞。

至於第二個漏洞 CVE-2023-30389 則可讓未經授權的駭侵者,只要持有任何 WordPress 帳號登入時使用的 Email 地址,即可竊取該帳號的登入權限。該漏洞的 CVSS 危險程度評分更高達 9.8 分,影響所有 Jupiter X Core 3.3.8 之前的版本。

截至目前為止,資安廠商尚未發現有駭侵者利用這兩個漏洞大規模發動攻擊的跡象;而針對這兩個漏洞,開發廠商也已經緊急推出新版 Jupiter X Core 3.4.3,順利修復漏洞。

正在使用 Jupiter X 佈景主題的使用者,應立即將其中的 Jupiter Core X 更新到最新 3.4.3 版本,以免遭駭侵者利用已知漏洞發動攻擊。

  • 參考連結

Critical Vulnerabilities Patched in Jupiter X Core Plugin

https://patchstack.com/articles/critical-vulnerabilities-patched-in-jupiter-x-core-plugin/

Jupiter X Core WordPress plugin could let hackers hijack sites

https://www.bleepingcomputer.com/news/security/jupiter-x-core-wordpress-plugin-could-let-hackers-hijack-sites/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()