Post Grid and Gutenberg Blocks 2.2.85 - 2.3.3 - 未授权权限提升

该漏洞的影响非常严重，因为它允许未经身份验证的攻击者直接注册为网站管理员。一旦成功，攻击者可以完全控制受影响的 WordPress 网站，包括修改内容、安装恶意软件、窃取敏感数据，甚至完全接管网站。这种攻击模式可能导致严重的财务损失、声誉损害和法律责任。由于该漏洞无需身份验证即可利用，因此攻击者可以轻松地大规模扫描和利用易受攻击的网站。

Websites using the ComboBlocks plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with legacy WordPress configurations or those that haven't implemented robust security practices are particularly vulnerable.

• wordpress / composer / npm:

wp plugin list | grep ComboBlocks

• wordpress / composer / npm:

wp plugin update --all

• wordpress / composer / npm:

grep -r 'update_user_meta' /var/www/html/wp-content/plugins/combo-blocks/

• wordpress / composer / npm:

wp option get siteurl

• wordpress / composer / npm:

wp option get home

1. 2025-01-15Disclosure

   disclosure

1. 已保留2024-10-08
2. 发布日期2025-01-15
3. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 Post Grid and Gutenberg Blocks 插件升级到修复版本。如果升级会导致网站中断，可以考虑回滚到之前的稳定版本，并实施额外的安全措施，例如限制用户注册权限和加强密码策略。此外，可以使用 Web 应用防火墙 (WAF) 或代理服务器来阻止可疑的注册请求。建议定期审查用户注册日志，以检测任何异常活动。

活跃安装数

30K热门

插件评分

4.3

需要WordPress版本

5.0.0+

兼容至

6.9.4