摘要：近日，科技新闻界传来警报，知名博客平台WordPress上的RealHome主题与Easy Real Estate插件被发现存在高危安全漏洞，这一消息由bleepingcomputer网站率先披露。据称，这些漏洞能够让未经授权的用户轻易获取管理员权限，进而对网

近日，科技新闻界传来警报，知名博客平台WordPress上的RealHome主题与Easy Real Estate插件被发现存在高危安全漏洞，这一消息由bleepingcomputer网站率先披露。据称，这些漏洞能够让未经授权的用户轻易获取管理员权限，进而对网站进行恶意操作，目前已有数万网站面临潜在威胁。

尤为令人不安的是，自2024年9月起，漏洞的发现者Patchstack曾多次尝试联系主题的开发者InspiryThemes，但遗憾的是，至今未收到任何回复，漏洞问题也未得到修复。这一拖延无疑加剧了网站安全的风险。

关于RealHome主题的漏洞（CVE-2024-32444），其严重性不容小觑，CVSS评分高达9.8。该漏洞源于inspiry_ajax_register函数在处理新账户注册时，未执行充分的授权检查与随机数验证。这意味着，攻击者有机会在注册请求中将自己的角色设定为“管理员”，从而绕过安全机制，全面接管WordPress网站。一旦得手，他们便可随意篡改内容、植入恶意脚本，甚至访问用户的敏感数据。据统计，Envato Market上的数据显示，RealHome主题已被应用于32600个网站，这些网站均处于风险之中。

而Easy Real Estate插件的漏洞（CVE-2024-32555）同样不容忽视，其CVSS评分同样高达9.8。该漏洞涉及插件的社交登录功能，存在一个显著缺陷：允许用户仅凭邮箱地址登录，无需验证邮箱地址的真实归属。这意味着，只要攻击者掌握了管理员的邮箱地址，便能无需密码直接登录，并获得管理员权限。这一漏洞的潜在后果与RealHome主题的漏洞相似，均可能导致网站遭受严重的安全损害。

鉴于InspiryThemes尚未发布任何补丁来修复这些漏洞，对于那些正在使用RealHome主题或Easy Real Estate插件的网站所有者和管理员来说，形势尤为紧迫。他们被强烈建议立即禁用这些存在漏洞的主题和插件，以避免遭受潜在的攻击。由于漏洞信息已经公开，攻击者很可能正在积极寻找并扫描易受攻击的网站，因此迅速采取缓解措施至关重要。

为了进一步增强网站的安全性，网站所有者和管理员还应考虑采取额外的安全措施，如定期更新WordPress及其所有插件和主题、使用强密码、启用双因素身份验证等。这些措施将有助于降低遭受攻击的风险，保护网站和用户数据的安全。

面对如此严峻的安全挑战，网站安全意识的提升显得尤为重要。所有网站所有者和管理员都应时刻保持警惕，密切关注与自身网站相关的安全信息，以便在第一时间发现并应对潜在的安全威胁。只有这样，才能确保网站的安全稳定运行，保障用户的利益不受损害。

来源：ITBear科技资讯