0x01 漏洞描述
Fancy Product Designer是WordPress、WooCommerce和Shopify的一个可视化产品配置插件,它允许客户使用自己的图形和内容定制产品。据统计,Fancy Product Designer已在超过 17,000 个网站上安装使用。
2021年6月4日,360漏洞云监测到安全研究人员披露了Fancy Product Designer插件未授权文件上传和远程代码执行漏洞(CVE-2021-24370),攻击者成功利用该漏洞后,可以绕过恶意文件上传的检查,并上传部署可执行的PHP文件。在攻击者执行远程代码攻击之后,可以完全接管受攻击的站点。
0x02 危害等级
严重:9.8
0x03 影响版本
Fancy Product Designer <= 4.6.8
0x04 修复建议
用户应及时更新到4.6.9版本及以上,相关下载参考链接:
https://codecanyon.net/item/fancy-product-designer-woocommercewordpress/6318393
0x05 参考链接
https://www.wordfence.com/blog/2021/06/critical-0-day-in-fancy-product-designer-under-active-attack/
0x06 获取本情报的更多详情
建议您订阅360漏洞云-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
