一、漏洞簡述

研究人員發現 WordPress 擴充程式與網站主題存在 6 項高風險安全漏洞，類型包含 Arbitrary File Upload、Privilege Escalation、Authentication Bypass 與 Arbitrary User Password Change。攻擊者可能在未經身分鑑別、或僅具一般權限的情況下取得網站管理員權限，甚至在伺服器端執行任意程式碼，建議儘速修補以避免風險。

二、設備／版本影響

Blubrry PowerPress 11.15.2（含）以前版本
FindAll Listing 1.0.5（含）以前版本
FindAll Membership 1.0.4（含）以前版本
Tiare Membership 1.2（含）以前版本
StreamTube Core 4.78（含）以前版本
Tiger 網頁主題 101.2.1（含）以前版本

三、建議處置

更新 Blubrry PowerPress 至 11.15.3（含）以後版本
更新 FindAll Listing 至 1.1（含）以後版本
更新 FindAll Membership 至 1.1（含）以後版本
更新 Tiare Membership 至 1.3（含）以後版本
更新 StreamTube Core 至 4.79（含）以後版本
Tiger 網頁主題請參考官方說明採取必要措施：
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/tiger-2/tiger-10121-unauthenticated-privilege-escalation

四、相關連結

參考資料：