威胁超 3 万网站：WordPress 主题 / 插件曝 9.8 分高危漏洞，攻击者可提权至管理员

根据IT之家在1月23日的报道，科技媒体bleepingcomputer于1月22日发表文章，揭露了WordPress主题RealHome和插件Easy Real Estate存在严重安全漏洞。该漏洞可能被未经身份验证的用户利用，以获取管理员权限，从而使数以万计的网站处于风险之中。

令人关注的是，漏洞发现者Patchstack自2024年9月以来曾多次试图联系供应商InspiryThemes，但始终没有收到有效回复，漏洞仍未解决。以下是对这两个漏洞的简要概述：

RealHome主题漏洞 (CVE-2024-32444，CVSS评分：9.8):

该主题的漏洞位于inspiring_ajax_register函数中，该函数允许注册新用户，但缺少必要的授权检查和随机数验证。

攻击者可以在注册请求中将自己的角色设定为“管理员”，从而绕过安全验证，完全控制WordPress网站，进行内容改动、植入恶意代码、获取用户敏感信息等行为。

根据Envato Market数据，RealHome主题现已应用于超过32600个网站。

Easy Real Estate插件漏洞 (CVE-2024-32555，CVSS评分：9.8):

该插件的社交登录功能存在缺陷，用户可以仅凭邮箱地址进行登录，而无需验证邮箱地址的实际拥有者。攻击者只需获知管理员的邮箱地址，即可在没有密码的情况下登录，从而获取管理员权限，后果与CVE-2024-32444相似。

因为InspiryThemes尚未发布任何补救措施，强烈建议启用RealHome主题或Easy Real Estate插件的网站所有者和管理员立刻停用这些组件。鉴于漏洞信息已经公开，攻击者可能会迅速扫描易受攻击的网站，因此迅速采取防范措施至关重要。

广告声明：文中包含的外部链接（包括但不限于超链接、二维码、口令等）旨在传递更多信息，帮助用户节省判断时间，结果仅供参考。