【安全资讯】CVE-2024-8672：Widget Options插件中的严重漏洞威胁超10万网站

概要：

近期，流行的“Widget Options”插件被发现存在严重安全漏洞（CVE-2024-8672），该插件在全球范围内拥有超过10万的活跃安装。此漏洞的CVSS评分高达9.9，可能使得恶意攻击者通过获得贡献者级别或更高权限的用户访问，执行任意代码，对使用该插件的网站构成重大威胁。

主要内容：

该漏洞源于插件的“显示逻辑”功能，该功能扩展了多个页面构建器。用户输入的数据通过eval()函数处理，但未进行适当的过滤或权限检查。这一疏忽使得经过身份验证的攻击者能够注入并执行任意代码。

安全研究员Webbernaut发现并报告了此漏洞，建议插件开发者实施允许列表以限制可执行的命令，仅允许管理员执行。然而，这些建议在最新的补丁中并未得到完全采纳。

虽然最新版本（4.0.8）修复了这一漏洞，但安全专家警告称，当前的补丁可能并不完全可靠，解决问题的方式可能仍然给网站留下残余风险。因此，所有使用“Widget Options”插件的用户被强烈建议立即更新至4.0.8版本，并且网站管理员应保持警惕，监控网站的可疑活动。