【安全圈】CVE-2024-56000（CVSS9.8）：KLEO WordPress 主题中存在的账户接管漏洞

安全圈 2025-02-24 11:03

关键词

安全漏洞

在 KLEO WordPress 主题中发现了一个严重漏洞，攻击者有可能借此接管用户账户。
该漏洞编号为 CVE-2024-56000，CVSS 评分达 9.8，受影响的是 K Elements 插件，它与 KLEO 主题捆绑在一起，提供自定义元素和短代码。
KLEO 主题销量超 23000 份，是 WordPress 生态系统中最受欢迎的高级 BuddyPress 主题之一。

该漏洞源于 Facebook 社交登录流程中的缺陷。攻击者可在登录过程中提供目标用户的电子邮件地址来利用此漏洞，绕过身份验证进而获取账户访问权限。出现这种情况是因为代码在 Facebook 登录过程中没有正确验证用户身份。

根据 Patchstack 的安全公告，“该漏洞是由于 Facebook 社交登录流程中的逻辑错误导致的，用户只需提供其他用户的账户电子邮件地址，就能登录其账户。” 该公告进一步解释称，潜在漏洞存在于 kleo_fb_intialize 函数中，代码在该函数中根据从 Facebook 接收的数据构建用户 ID ，但未进行适当验证。

供应商 SeventhQueen 已在 K Elements 插件 5.4.0 版本中修复了该漏洞。补丁对 Facebook 登录流程进行了适当检查，使用 kleo_verify_facebook_token_and_get_data 函数通过用户的 Facebook 访问令牌获取并验证用户数据。

强烈敦促 KLEO 主题的用户立即更新到 K Elements 插件的最新版本。还建议检查账户活动，查看是否有被入侵迹象，并更改密码作为预防措施。

END  

阅读推荐

【安全圈】马斯克DOGE网站数据库存在漏洞，任何人可随意篡改内容

【安全圈】Atos旗下Eviden公司紧急发布安全公告：IDPKI解决方案曝出高危漏洞

【安全圈】数据泄露警报拉响！2024 医疗行业成重灾区，远超金融行业

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！