【安全资讯】超过30,000个WooCommerce网站因插件漏洞面临风险（CVE-2024-6027）

概要：

超过30,000个使用WooCommerce的在线商店由于流行插件“Themify – WooCommerce Product Filter”中的一个严重安全漏洞，面临严重的数据泄露风险。该漏洞被追踪为CVE-2024-6027（CVSS评分9.8），可能允许攻击者从商店的数据库中提取敏感信息，包括客户姓名、地址甚至信用卡详细信息。

主要内容：

该漏洞源于插件处理用户提供数据时的基于时间的SQL注入漏洞。攻击者可以通过操纵用于过滤产品搜索的“conditions”参数来利用这一漏洞。这可能会使他们获得对底层数据库的未经授权访问，从而可能暴露大量机密信息。

任何运行Themify – WooCommerce Product Filter插件版本1.4.9或更早版本的在线商店都易受攻击。该插件非常受欢迎，拥有超过30,000个活跃安装，使潜在影响范围广泛。

安全研究员Arkadiusz Hydzik发现了CVE-2024-6027漏洞，并负责任地向插件开发人员披露了这一漏洞。虽然目前没有证据表明该漏洞被积极利用，但商店所有者必须立即采取行动，因为未修补的WordPress漏洞通常是网络犯罪分子的目标。

如果您使用Themify – WooCommerce Product Filter插件，请立即采取以下措施：

1. 立即更新：尽快将插件升级到最新版本（1.5.0或更高版本）。此修补版本修复了漏洞并确保了您的商店安全。

2. 审查您的数据：虽然没有活跃利用的报告，但建议审计您的数据库和网站日志，以查找任何可疑活动。注意任何未经授权的访问尝试或异常的数据修改。

3. 考虑专业帮助：如果您不确定如何自己更新插件或不确定您的网站是否已被入侵，请寻求网络安全专业人士的帮助。