【漏洞通告】字符串定位器 <= 2.6.6 – 未经身份验证的 PHP 对象注入 (CVE-2024-10936)

安迈信科应急响应中心 2025-01-24 04:12

01 漏洞概况    WordPress的String定位插件存在PHP对象注入漏洞，该漏洞存在于所有版本至包括2.6.6版本。漏洞出现在’recursive_unserialize_replace’函数的反序列化不可信输入过程中。这使得未经身份验证的攻击者可以注入PHP对象。在受影响的软件中不存在已知的POP链。如果目标系统上安装了额外的插件或主题存在POP链，那么攻击者可能会删除任意文件、检索敏感数据或执行代码。管理员必须执行搜索和替换操作才能触发漏洞利用。02 漏洞处置综合处置优先级：高漏洞信息漏洞名称WordPress String定位插件PHP对象注入漏洞漏洞编号CVE编号CVE-2024-10936漏洞评估披露时间2025-01-21漏洞类型反序列化危害评级未知公开程度PoC未公开威胁类型远程利用情报在野利用是影响产品产品名称Wordpress受影响版本Wordpress <= 2.6.6影响范围广有无修复补丁有

03 漏洞排查      用户尽快排查Wordpress应用版本是否在2.6.6之前。若存在应用使用，极大可能会受到影响。04 修复方案1、官方修复方案：当前官方已发布最新版本，建议受影响的用户及时更新升级到最新。05 时间线      2025.01.21 厂商发布安全补丁      2024.01.24 安迈信科安全运营团队发布通告   关于安迈信科西安安迈信科科技有限公司以“数字化可管理”为核心理念，坚持DevOps自主研发，创新打造“能力聚合、流程闭环、持续赋能”的综合性网络数据安全平台与运营服务。公司从古城西安出发，已在全国范围内为政府、运营商、电力、能源等行业客户提供了高质量的安全保障，并将继续为我国数字化转型和发展贡献力量。知 行 . 至 简 . 致 诚