科技媒体 bleepingcomputer 昨日发布博文，报道称 WordPress 主题 RealHome 和插件 Easy Real Estate 存在严重安全漏洞，未经身份验证的用户可利用漏洞获取管理员权限，数万网站面临风险。

　　令人担忧的是，漏洞发现者 Patchstack 自 2024 年 9 月以来多次联系供应商 InspiryThemes，但未得到任何回应，漏洞至今未修复。简要介绍下两个漏洞如下：

　　该主题存在漏洞，通过 inspiry_ajax_register 函数注册新账户，但未进行正确的授权检查和随机数验证。

　　攻击者可在注册请求中将自身角色指定为“管理员”，绕过安全检查，进而完全控制 WordPress 网站，进行内容篡改、植入脚本、访问用户敏感数据等操作。

　　据 Envato Market 数据显示，RealHome 主题已应用于 32600 个网站。

　　该插件的社交登录功能存在缺陷，允许用户仅凭邮箱地址登录，而无需验证邮箱地址的真实所有者。攻击者只需知道管理员的邮箱地址，即可无需密码登录并获得管理员权限，其后果与 CVE-2024-32444 类似。

　　由于 InspiryThemes 尚未发布补丁，强烈建议使用 RealHome 主题或 Easy Real Estate 插件的网站所有者和管理员立即禁用它们。鉴于漏洞信息已公开，攻击者很可能正在积极扫描易受攻击的网站，因此迅速采取缓解措施至关重要。