今日,亚信安全CERT监控到安全社区研究人员发布安全通告,在WordPress 的 Automatic Translation Plugin中存在危险文件无限制上传漏洞(CVE-2024-50493)。由于Automatic Translation 插件的1.0.4 版本及之前所有版本中,缺少对文件类型的验证,这使得未经认证的攻击者能够在受影响网站的服务器上上传任意文件,从而可能导致远程代码执行的发生。
亚信安全CERT建议受影响的客户更新 Automatic Translation plugin 至最新版本和限制文件上传权限,以防止恶意攻击。
WоrdPrеѕѕ是一套使用PHP语言开发的博客平台。该平台支持在PHP和MуSQL的服务器上架设个人博客网站。Masterhomepage Automatic Translation Plugin 是一个 WordPress 插件,旨在为网站提供自动翻译功能。该插件可以帮助用户将网站内容自动翻译成不同的语言,使得多语言支持变得更加便捷。它适用于希望扩展其受众群体,特别是那些没有足够资源手动翻译内容的站点。
漏洞编号、类型、等级
CVE-2024-50493
任意文件上传漏洞
高危
漏洞状态
细节 | PoC | EXP | 在野利用 | 复现情况 |
未公开 | 已公开 | 未公开 | 未发现 | 未复现 |
受影响版本
WordPress Automatic Translation plugin <= 1.0.4
产品解决方案
目前亚信安全怒狮引擎已第一时间新增了检测规则,支持CVE-2024-50493漏洞的检测,请及时更新TDA、AE产品的特征库到最新版本。规则编号:106063905,规则名称:WordPress自动翻译插件任意文件上传漏洞(CVE-2024-50493)。
更新方式如下:
TDA产品在线更新方法:登录系统-》系统管理-》系统升级-》特征码更新;
AE产品在线更新方法:登录系统-》管理-》更新-》特征码更新。
TDA、AE产品离线升级PTN包下载链接如下:
(后台私信下载离线升级PTN包)
修复建议
目前,官方未发布相关修复公告,建议受影响的用户将WordPress自动翻译插件更新到最新版本。
https://wordpress.org/plugins/automatic-translate-addon-for-translatepress
参考链接
https://patchstack.com/database/vulnerability/automatic-translation/wordpress-automatic-translation-plugin-1-0-4-arbitrary-file-upload-vulnerability?_s_id=cve
https://github.com/RandomRobbieBF/CVE-2024-50493
https://wordpress.org/plugins/translatepress-multilingual/#description
本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性,但在互联网环境中,文件下载仍存在潜在风险。为保障您的设备安全与数据隐私,敬请您在点击下载前谨慎核实其安全性和可信度。
了解亚信安全,请点击“阅读原文”
