漏洞概述 WPTF - Hybrid Composer 是一个帮助 WordPress 用户轻松创建自定义主题的框架。最近发现该插件存在未认证的任意选项更新漏洞,攻击者可以利用此漏洞获取管理员权限或注入任意数据。 影响范围 插件名称: WPTF - Hybrid Composer 受影响版本: 1.4.6 及更低版本 安装量: 接近 300 次安装 修复方案 开发者已意识到漏洞: 该漏洞已在最近的更新中修复。 建议: 强烈建议用户更新插件到最新版本。 POC 代码 详细说明 漏洞原理: 函数 使用了 WordPress 的 函数,并直接使用了用户输入的参数。由于开发者定义了 为非私有钩子操作,未认证的恶意行为者可以获得完全访问权限。 风险: 攻击者可以利用此漏洞获取管理员权限或注入任意数据到任何使用受影响版本框架的网站。 作者信息 作者: John Castro 职位: Sucuri 漏洞研究员 加入时间: 2015 年 职责: 威胁情报和漏洞分析、安全意识与教育、自动化攻击、WordPress 插件漏洞研究、恶意软件分析 相关标签 LABS NOTE UPDATE_OPTION VULNERABILITY WORDPRESS PLUGINS AND THEMES 相关分类 SUCURI LABS WEBSITE MALWARE INFECTIONS WORDPRESS SECURITY 其他推荐文章 WordPress Vulnerability & Patch Roundup May 2024 Vulnerability & Patch Roundup — December 2025 7 Things You Should Monitor in WordPress Activity Logs Assemble the Cookies Fake Parameters Conceal a Backdoor Web Crawler & User Agent Blocking Techniques Hex'ing the CSS Style Attribute for Black Hat SEO Examining Unique Magento Backdoors Desperate scammers Plugins added to Malware Campaign: September 2019 总结 WPTF - Hybrid Composer 插件存在未认证的任意选项更新漏洞,影响版本 1.4.6 及更低版本。建议用户立即更新插件以修复此漏洞。