免费扫描
MEDIUMCVE-2026-34899CVSS 5.3

WordPress LTL Freight Quotes – Worldwide Express Edition 插件 <= 5.2.1 - 访问控制漏洞

平台

wordpress

组件

ltl-freight-quotes-worldwide-express-edition

修复版本

5.2.2

5.2.2

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月
在NVD查看
保存

CVE-2026-34899 是 WordPress LTL Freight Quotes – Worldwide Express Edition 插件中的一个安全漏洞,由于缺少能力检查,导致未经身份验证的攻击者能够执行未经授权的操作。此漏洞的影响是潜在的权限绕过,可能导致数据泄露或系统篡改。受影响的版本包括 LTL Freight Quotes – Worldwide Express Edition 5.2.1 及更早版本。该漏洞已在版本 5.2.2 中修复。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

CVE-2026-34899 影响 WordPress 的 LTL Freight Quotes – Worldwide Express Edition 插件,可能导致未经授权的访问。由于特定函数中缺少适当的权限检查,未经身份验证的攻击者可以执行他们不应该能够执行的操作。这可能导致运输数据的篡改、报价的修改,甚至访问与发货和客户相关的敏感信息。CVSS 评分是 5.3,表明存在中等风险。如果您的网站处理敏感的运输或报价信息,则更新插件对于降低这种风险至关重要。此漏洞存在于所有版本中,包括 5.2.1,因此更新是强制性的。

利用背景

未经身份验证的攻击者可以通过向 Web 服务器发送精心制作的 HTTP 请求来利用此漏洞。这些请求可以利用缺少权限检查来执行易受攻击的函数并执行未经授权的操作。利用成功的关键取决于 Web 服务器的配置以及可能促进网站访问的其他漏洞的存在。虽然利用需要一定的技术知识,但漏洞的相对简单使其成为各种技能水平的攻击者的有吸引力的目标。缺乏身份验证是启用利用的关键因素。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告1 份威胁报告

EPSS

0.04% (11% 百分位)

CISA SSVC

利用情况none
可自动化yes
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N5.3MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityNone敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
无 — 无机密性影响。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
无 — 无可用性影响。

受影响的软件

组件ltl-freight-quotes-worldwide-express-edition
供应商wordfence
影响范围修复版本
n/a – 5.2.15.2.2
5.2.15.2.2

软件包信息

活跃安装数
80小众
插件评分
5.0
需要WordPress版本
6.4+
兼容至
6.9.4
需要PHP版本
7.4+
主页

弱点分类 (CWE)

CWE-862

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

CVE-2026-34899 的解决方案很简单:将 LTL Freight Quotes – Worldwide Express Edition 插件更新到 5.2.2 或更高版本。此更新包括通过实施必要的权限检查来修复漏洞。我们强烈建议您尽快执行此更新以保护您的网站免受潜在攻击。此外,请检查 WordPress 中的用户权限,以确保只有授权用户才能访问插件的功能。监控服务器日志以查找可疑活动也有助于检测和响应潜在的利用尝试。更新是最有效的预防措施。

修复方法翻译中…

Update to version 5.2.2, or a newer patched version

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34899 是什么 — LTL Freight Quotes – Worldwide Express Edition 中的漏洞?

这是一个用于此安全漏洞的唯一标识符。

LTL Freight Quotes – Worldwide Express Edition 中的 CVE-2026-34899 是否会影响我?

如果无法立即更新,请考虑限制对插件的访问并监控服务器日志。

如何修复 LTL Freight Quotes – Worldwide Express Edition 中的 CVE-2026-34899?

是的,包括 5.2.1 在内的插件的所有版本都存在漏洞。

CVE-2026-34899 是否正在被积极利用?

在 WordPress 管理面板中,转到插件部分并检查已安装的版本。

在哪里可以找到 LTL Freight Quotes – Worldwide Express Edition 关于 CVE-2026-34899 的官方安全通告?

更新可在 WordPress 插件存储库或开发人员的网站上找到。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE