行业新闻与博客

在允许定制 WooCommerce 产品的 Fancy Product Designer 高级插件中发现了两个重大安全漏洞。最新版本 6.4.3 中仍未修复这些问题，影响了使用该插件的 WordPress 网站。

该插件由 Radykal 开发，销量超过 20,000 件，可实现广泛的产品定制。然而，Patchstack 研究人员去年发现了两个严重漏洞——未经身份验证的任意文件上传漏洞 (CVE-2024-51919) 和未经身份验证的 SQL 注入漏洞 (CVE-2024-51818)。

漏洞详情

未经身份验证的任意文件上传漏洞允许未经身份验证的用户上传任意文件，包括 PHP 文件，这可能导致远程代码执行 (RCE)。该漏洞源自 save_remote_file 和 fpd_admin_copy_file 函数，这两个函数未能充分验证用户输入，从而允许文件上传不受适当限制。

未经身份验证的 SQL 注入漏洞允许未经授权的用户直接在 WordPress 数据库上执行 SQL 查询。该问题源于 get_products_sql_attrs 函数，该函数没有充分清理输入，而是依赖于 strip_tags 函数，而该函数对 SQL 注入风险无效。

据报道，Patchstack 研究人员于 2024 年 3 月 18 日联系了该供应商，但尚未收到回复。这些漏洞于 2025 年 1 月 8 日公开披露。

安全建议

建议使用 Fancy Product Designer 插件的网站管理员立即停用或删除该插件，直到发布安全补丁为止。

安全专家建议开发人员采取以下做法来防止类似问题：

• 彻底验证所有文件上传，检查文件名和扩展名

• 对允许的文件类型使用白名单

• 实现 SQL 查询的准备好的语句

• 正确清理并转义所有用户输入

主动进行定期代码审核也可以显著降低 WordPress 插件中的漏洞风险。