【安全资讯】CVE-2024-6457：HUSKY插件中的严重漏洞威胁10万+ WooCommerce商店

概要：

一项严重的安全漏洞在广泛使用的WordPress插件HUSKY – Products Filter Professional for WooCommerce中被发现。此漏洞被追踪为CVE-2024-6457，CVSS评分为9.8（严重），使得超过10万个基于WooCommerce的在线商店面临未经授权的数据泄露风险。

主要内容：

该漏洞源于对用户提供的输入在‘woof_author’参数中的不充分清理，允许恶意行为者将恶意SQL查询注入插件的数据库交互中。这种攻击类型被称为SQL注入，攻击者可以利用此漏洞提取敏感信息、修改数据，甚至完全控制底层数据库。

此漏洞的潜在后果非常严重。攻击者可能会窃取客户数据，包括个人身份信息（PII）、支付卡详情和登录凭证。他们还可能篡改产品信息、破坏网站或中断在线商店的运营。任何使用HUSKY – Products Filter Professional for WooCommerce 1.3.6及以下版本的在线商店都面临立即风险。

鉴于该插件的流行和广泛的用户基础，这一漏洞对WooCommerce生态系统的很大一部分构成了重大威胁。HUSKY的开发者已迅速发布了修补版本1.3.6.1，以解决CVE-2024-6457漏洞。强烈建议所有商店所有者尽快更新到此版本或更新的修补版本。