在 AdForest WordPress 主题中发现了一个严重的安全漏洞 (CVE-2024-12857)，AdForest WordPress 是一款流行的高级分类广告主题，在全球的销售量超过 8,743 个。该漏洞被评为 CVSS 9.8，允许攻击者完全绕过身份验证机制。

该漏洞由 Wordfence 的安全研究员 Chloe Chamberland 发现，影响 AdForest 5.1.8 及 5.1.8 之前的所有版本。该漏洞源于使用电话号码 OTP 登录时，主题无法在登录过程中正确验证用户身份。

这个漏洞使未经身份验证的攻击者能够以任何用户（包括管理员）的身份登录，而不需要实际的 OTP，从而完全控制 WordPress 网站。这可能导致以下严重后果

• 完全控制网站：攻击者可以修改内容、注入恶意代码或窃取敏感数据。
• 管理滥用： 恶意行为者可以创建具有管理权限的新账户，或锁定合法用户。
• 网络钓鱼活动： 攻击者可利用受损网站发布钓鱼网页或恶意软件。

AdForest 开发人员已经发布了 5.1.9 版本来解决该漏洞。强烈建议所有 AdForest 主题的用户立即更新到最新版本。