Wordfence安全团队近日发布安全公告,披露WordPress预约日历插件LatePoint存在严重权限提升漏洞。该漏洞被评为8.8/10高危级别,影响超过10万个使用此插件的网站。
漏洞详情
受影响插件
LatePoint – Calendar Booking Plugin是一款面向服务型企业的WordPress预约插件,支持在线预约、日历管理、支付处理和自动确认等功能。该插件在WordPress官方插件库中活跃安装量超过10万。
漏洞类型:权限提升
该漏洞属于认证后权限提升(Authenticated Privilege Escalation)类型。攻击者需要具备LatePoint Agent角色或更高级别权限才能利用此漏洞。
漏洞原理
漏洞存在于客户创建功能中。当Agent角色用户创建新客户时,插件允许设置wordpress_user_id字段,该字段用于将LatePoint客户记录与WordPress用户账户关联。
关键问题:插件未对可分配的WordPress用户ID进行限制。这意味着Agent用户可以将客户记录关联到任意WordPress用户账户,包括管理员账户。关联后,Agent可重置该账户密码,从而获得管理员权限。
攻击流程
- 攻击者以Agent身份登录
- 创建新客户,将
wordpress_user_id设置为管理员用户ID - 利用密码重置功能重置管理员密码
- 获得管理员权限,完全控制网站
影响范围
| 项目 | 详情 |
|---|---|
| CVSS评分 | 8.8/10(高危) |
| 受影响版本 | 5.2.7及以下所有版本 |
| 安全版本 | 5.2.8及以上 |
| 受影响网站数 | 约10万+ |
| 利用条件 | 需Agent级别认证 |
修复建议
立即行动
- 立即升级:将LatePoint插件升级至5.2.8或更高版本
- 审查用户:检查所有Agent级别用户,确认无异常账户
- 修改密码:建议管理员账户修改密码
- 查看日志:检查近期客户创建记录,确认无异常关联
升级步骤
1. 登录WordPress后台 2. 进入 插件 > 已安装插件 3. 找到 LatePoint 插件 4. 点击"立即更新"(如有可用更新) 5. 或手动下载最新版本覆盖安装
外贸独立站的安全启示
对于使用WordPress搭建外贸独立站的企业,此次漏洞事件提供以下安全教训:
1. 插件安全审计
- 定期审查已安装插件的安全记录
- 关注Wordfence、Sucuri等安全机构的安全公告
- 删除不再使用的插件,减少攻击面
2. 权限最小化原则
- 仅授予用户完成工作所需的最低权限
- 避免将Agent权限授予不可信用户
- 定期审查用户角色分配
3. 自动更新策略
- 对安全更新启用自动更新
- 建立定期备份机制(建议每日自动备份)
- 使用安全插件(如Wordfence、Sucuri)进行实时监控
4. 供应商评估
- 选择有良好安全记录的插件开发商
- 优先选择活跃维护的插件(近期有更新记录)
- 评估插件代码质量(是否经过安全审计)
相关漏洞参考
近期WordPress生态中类似的高危漏洞还包括:
- SiteOrigin页面构建器漏洞(CVSS 8.8,影响50万+网站)
- User Registration & Membership插件漏洞(允许未认证攻击者获取管理员权限)
建议外贸站站长关注WordPress安全动态,及时修复已知漏洞。
总结
LatePoint插件的权限提升漏洞再次提醒我们,WordPress插件安全不容忽视。虽然该漏洞需要Agent级别认证才能利用,但对于拥有多名员工管理预约系统的外贸企业来说,风险依然存在。建议立即升级至5.2.8版本,并建立定期安全检查机制。
微信扫一扫 或 点击链接联系我