WordPress WP Quick Setup漏洞CVE-2024-52429

WordPress是一个非常强大且灵活的博客/内容管理系统，其拥有海量的模板和插件能够帮助WordPress网站主更好的运营网站和扩展功能。

一、基本情况

栋科技漏洞库关注到 WordPress WP Quick Setup Plugin 于2024年11月18日被披露存在一个远程代码执行漏洞，追踪为CVE-2024-52429。

二、漏洞分析

CVE-2024-52429漏洞是WordPress WP Quick Setup Plugin中存在的一个任意插件和主题安装导致远程代码执行漏洞，漏洞CVSS评分9.9。

该漏洞允许用户将具有危险类型漏洞的文件（Web Shell）无限制的上传到Web服务器中，影响版本包括WP Quick Setup Plugin v2.0 以下。

WordPress 官网资料显示，该插件已于2024年11月08日关闭，等待官方全面审核，暂不提供下载链接，也无法查看其具体的安装下载量。

值得关注的是，根据官网材料，WP Quick Setup Plugin最后更新时间为9年前，这也意味着该漏洞可能已经存在九年之久而未曾被人发现。

当然这不算什么稀奇的，历经九年时间 WordPress 都已经更新过无数次，近十年未被人关注只能说明两个问题：一是WordPress兼容性强。

二则说明该插件没有什么市场，没安装量、没有用户使用，自然也就没有人去分析和研究其代码是否存在问题了，所以笔者说这不足为奇。

三、影响范围

WordPress WP Quick Setup Plugin <= 2.0

四、修复建议

暂无，官网提示：此插件已于2024年11月08日关闭，无法下载。此关闭是暂时的，有待全面审核。

五、参考链接

https://cn.wordpress.org/plugins/wp-quick-setup/