Sweet Date WordPress主题高危漏洞CVE-2024-43222

SweetDate是一个独特，干净和现代而且功能非常强大的高级WordPress主题，主题非常适合约会或社区网站，也可以用于任何其他领域。

WordPress约会主题SweetDate的设计目的是可以让用户通过WordPress构建一个约会网站，或者通过SweetDate主题构建一个约会社区。

当然，SweetDate主题作用不止于此，该主题整合了Bbpress和BuddyPress，通过其构建婚庆网站，婚恋网站，交友网站和其它类型网站。

一、基本情况

Sweet Date WordPress主题基于 Zurb Foundation 框架，兼容WordPress 3.8+、BuddyPress 1.7、BBPress 2.3+、WooCommerce插件。

Sweet Date WordPress 主题作为一个一个独特、时尚而干净的交友/社交/婚恋主题，可构建社交性的网站，是一套特别节省成本的方案。

栋科技漏洞库关注到Sweet Date WordPress主题中存在一个漏洞，追踪为CVE-2024-43222，CVSS评分9.8，显示出严重性及潜在影响。

二、漏洞影响

CVE-2024-43222漏洞是Sweet Date WordPress主题中近期被曝出的高危漏洞，该主题受到广大用户欢迎，被近10,000个用户购买使用。

该漏洞源于主题代码中的对输入验证和授权检查不足，尤其是处理与wp_ajax_fb_initialize操作相关的用户输入时，缺乏必要的安全措施。

该漏洞允许未经身份验证的攻击者能够操控功能并提升权限，这可能允许恶意攻击者将其低特权帐户升级到更高特权的帐户从而接管网站。

该漏洞利用方式也非常简单，攻击者仅需发送一系列精心构造的HTTP请求，就可以成功利用该漏洞，成功利用漏洞，可能导致如下风险：

1、 破坏用户账户：攻击者可以重置任何用户账户的密码，包括管理员账户，从而获得对WordPress仪表板和敏感用户数据的未授权访问。

2、执行任意代码：获得管理员权限后，攻击者可以在服务器上执行恶意代码，可能导致数据泄露、网站篡改或安装后门以实现持久访问。

3、传播恶意软：被攻陷的网站可能被恶意攻击者用于恶意软件的托管和传播平台，从而进行恶意软件分发传播，进一步扩大漏洞的影响。

目前，Sweet Date WordPress主题的开发者已在3.8.0版本中修复该漏洞，强烈建议所有使用该主题的用户立即更新至该版本或更高版本。

三、影响范围

WordPress SweetDate <= 3.7.3

四、参考链接

WordPress SweetDate >= 3.8.0