免费扫描
HIGHCVE-2026-32364CVSS 7.5

CVE-2026-32364: LFI in Turbo Manager WordPress Plugin

平台

wordpress

组件

turbo-manager

修复版本

4.0.8

在NVD查看
保存

CVE-2026-32364描述了WordPress Turbo Manager插件中的本地文件包含(LFI)漏洞。该漏洞允许具有贡献者级别或更高权限的认证攻击者,通过包含和执行服务器上的任意文件,从而执行任意PHP代码。受影响的版本包括4.0.8及更早版本。建议立即升级至4.0.8版本以修复此安全问题。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

该LFI漏洞的潜在影响非常严重。攻击者可以利用此漏洞读取服务器上的敏感文件,例如配置文件、数据库凭证,甚至其他应用程序的代码。更严重的是,攻击者可以利用此漏洞执行任意PHP代码,从而完全控制受感染的WordPress站点。攻击者可以上传恶意图片或其他“安全”文件类型,然后通过LFI漏洞包含并执行这些文件,从而实现代码执行。这可能导致数据泄露、网站篡改、甚至整个服务器的控制权被夺取。由于该漏洞需要认证访问,但贡献者权限通常被授予,因此潜在的攻击面相对较大。

利用背景

目前没有公开的漏洞利用代码(POC),但该漏洞的严重性较高,且攻击者可以利用已知的技术来执行代码。该漏洞已发布到NVD(国家漏洞数据库),CISA(美国网络安全和基础设施安全局)也已发布相关信息。由于该漏洞需要认证访问,因此大规模自动化的利用可能性较低,但针对特定目标的攻击仍然存在风险。 漏洞发布日期为2026年2月16日。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.13% (32% 百分位)

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityHigh利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityHigh服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
高 — 需要竞态条件、非默认配置或特定情况。难以可靠利用。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
高 — 完全崩溃或资源耗尽,完全拒绝服务。

受影响的软件

组件turbo-manager
供应商wordfence
最高版本4.0.8
修复版本4.0.8

弱点分类 (CWE)

CWE-98

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

最有效的缓解措施是立即将Turbo Manager插件升级至4.0.8版本或更高版本。如果升级会破坏现有站点功能,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。此外,可以考虑使用Web应用防火墙(WAF)或反向代理来过滤潜在的恶意请求,阻止攻击者尝试利用LFI漏洞。配置WAF规则以阻止包含可执行文件扩展名(例如.php)的文件包含请求。 检查WordPress站点文件权限,确保上传目录的权限设置足够严格,防止攻击者上传恶意文件。

修复方法

更新到 4.0.8 版本,或更新的补丁版本

常见问题

什么是CVE-2026-32364 — 本地文件包含漏洞在Turbo Manager插件中?

CVE-2026-32364描述了WordPress Turbo Manager插件(版本<=4.0.8)中的本地文件包含(LFI)漏洞,允许攻击者执行任意PHP代码,可能导致数据泄露和代码执行。

我是否受到CVE-2026-32364在Turbo Manager插件中影响?

如果您正在使用Turbo Manager插件的版本低于4.0.8,那么您可能受到此漏洞的影响。请立即检查您的插件版本并升级。

如何修复CVE-2026-32364在Turbo Manager插件中?

最有效的修复方法是立即将Turbo Manager插件升级至4.0.8版本或更高版本。如果升级会破坏现有站点功能,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。

CVE-2026-32364是否正在被积极利用?

虽然目前没有公开的漏洞利用代码,但该漏洞的严重性较高,存在被利用的风险。建议尽快修复漏洞。

在哪里可以找到Turbo Manager插件官方针对CVE-2026-32364的公告?

请访问Turbo Manager插件的官方网站或WordPress插件目录,查找有关CVE-2026-32364的官方安全公告。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描
live免费扫描

立即扫描您的WordPress项目 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...