发布日期：2024-08-30
更新日期：2024-10-28

受影响系统：

WordPress Attire <= 2.0.6

描述：

---

CVE(CAN) ID: CVE-2024-7435

WordPress是WordPress基金会使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站，Attire是WordPress中的一个高速、可定制的多功能主题。
WordPress的Attire主题2.0.6及之前版本在对不可信输入进行反序列化时存在PHP对象注入漏洞，经过身份认证的投稿者（Contributor-Level）及以上级别的攻击者利用该漏洞可注入PHP对象，若目标系统安装了额外插件或主题导致存在POP链，还能够删除任意文件、获取敏感数据或执行代码。

<**>

建议：

---

厂商补丁：

WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://wordpress.org/themes/attire/

浏览次数：202
严重程度：0（网友投票）