WordPress主题/插件爆出9.8分高危漏洞，超过3万网站面临威胁，黑客或可窃取管理员权限

WordPress主题/插件曝高危漏洞，3万网站潜藏威胁！黑客或能轻松攫取管理员权限！

　　 1月23日消息，科技媒体bleepingcomputer于1月22日发布文章指出，WordPress主题RealHome及插件EasyRealEstate存在重大安全漏洞。该漏洞允许未经过身份验证的用户获取管理员权限，导致数万网站面临风险。

　　 令人担忧的是，漏洞发现者Patchstack自2024年9月以来多次联系供应商InspiryThemes，但未收到任何回复，导致漏洞至今仍未修复。简要介绍下两个漏洞如下：

　　 RealHome 主题漏洞 (CVE-2024-32444，CVSS 评分：9.8):

　　 该主题存在安全隐患，通过 `inspiry_ajax_register` 函数注册新账户时，并未进行有效的权限验证和随机数检查。这种疏忽可能导致恶意用户绕过安全机制，擅自创建账户，从而给平台带来潜在的风险。为了确保系统的安全性，开发团队应尽快修复这一漏洞，完善注册过程中的各项验证措施。此外，定期对代码进行安全审计也是预防此类问题的有效手段。

　　 攻击者可能在注册请求中将自己的角色设置为“管理员”，从而绕过了必要的安全检查，这使得他们能够完全掌控WordPress网站。一旦得逞，攻击者便可以肆意篡改网站内容、植入恶意脚本以及访问用户的敏感信息。这种漏洞的存在凸显了当前网络安全防护体系中存在的重大缺陷。我们需要更加重视对这类高风险漏洞的修补工作，确保网站在开放注册时能够实施更严格的身份验证措施。同时，用户也应提高自我保护意识，使用强密码并定期更新，以减少被攻击的风险。网站开发者则需要不断改进安全策略，防止此类事件再次发生。

　　 据 Envato Market 数据显示，RealHome 主题已应用于 32600 个网站。

　　 Easy Real Estate 插件漏洞 (CVE-2024-32555，CVSS 评分：9.8):

　　 该插件的社交登录功能存在明显的安全漏洞，允许用户仅凭邮箱地址登录，而无需验证邮箱地址的真实所有者身份。这意味着，只要攻击者知道了管理员的邮箱地址，他们便可以绕过密码验证，无需任何额外步骤即可获取管理员权限。这种情况与之前报道的CVE-2024-32444案例非常相似，暴露了当前系统在身份验证机制上的重大缺陷。这样的安全漏洞不仅威胁到用户的隐私和数据安全，还可能被恶意利用，导致严重的管理权限滥用。开发者应当尽快修复这一漏洞，并加强验证流程，确保只有邮箱地址的真实所有者才能通过这种方式登录。同时，用户也应该提高警惕，避免使用过于简单的认证方式，以免造成不必要的损失。

　　 由于InspiryThemes尚未发布修复补丁，强烈建议使用RealHome主题或EasyRealEstate插件的网站所有者和管理员立即停用它们。鉴于漏洞细节已经公开，攻击者可能正在积极寻找并扫描存在漏洞的网站，因此尽快采取缓解措施显得尤为关键。