平台
wordpress
组件
ultimate-video-player
修复版本
10.0.1
CVE-2024-10804 描述了 Ultimate Video Player WordPress & WooCommerce 插件中的一个任意文件访问漏洞。该漏洞允许未经身份验证的攻击者读取服务器上的任意文件,可能导致敏感信息泄露。该漏洞影响所有版本,包括10.0及更早版本。建议用户尽快更新到最新版本以修复此问题。
攻击者可以利用此漏洞访问服务器上的任何文件,包括配置文件、数据库备份、源代码等。如果这些文件中包含敏感信息,例如数据库密码、API密钥或个人身份信息,攻击者就可以利用这些信息进一步攻击系统或窃取数据。由于该漏洞无需身份验证,攻击者可以轻松地利用它来获取对服务器的访问权限。潜在的攻击场景包括读取网站的配置文件以获取数据库凭据,或者读取包含用户数据的备份文件。
该漏洞已公开披露,且存在潜在的利用风险。目前尚无已知的公开利用程序,但由于漏洞的严重性和易利用性,预计未来可能会出现。建议密切关注安全社区的动态,并及时采取缓解措施。该漏洞尚未被添加到CISA KEV目录。
Websites utilizing the Ultimate Video Player plugin, particularly those running older versions (≤10.0), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over file permissions and server configurations. WordPress sites with sensitive data stored on the same server are also at increased risk.
• wordpress / composer / npm:
grep -r 'content/downloader.php' /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/content/downloader.php | grep -i 'content-type'• wordpress / composer / npm:
wp plugin list | grep "Ultimate Video Player"disclosure
漏洞利用状态
EPSS
2.55% (85% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Ultimate Video Player WordPress 插件更新到最新版本。如果无法立即升级,可以考虑以下临时缓解措施:限制插件的访问权限,例如将其限制在特定的目录中;使用Web应用防火墙(WAF)来阻止对content/downloader.php文件的恶意请求;监控插件的日志文件,以检测任何可疑活动。升级后,请验证插件是否已成功更新,并确认漏洞已得到修复。
Actualice el plugin Ultimate Video Player WordPress & WooCommerce Plugin a la última versión disponible. Esto solucionará la vulnerabilidad de descarga de archivos arbitrarios no autenticada.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-10804 是 Ultimate Video Player WordPress 插件中的一个漏洞,允许攻击者读取服务器上的任意文件。CVSS 评分为7.5(高),影响所有版本,包括 10.0 及更早版本。
如果您正在使用 Ultimate Video Player WordPress 插件,并且版本低于或等于 10.0,那么您可能受到此漏洞的影响。请立即检查您的插件版本。
最有效的修复方法是立即将 Ultimate Video Player WordPress 插件更新到最新版本。
目前尚无已知的公开利用程序,但由于漏洞的严重性和易利用性,预计未来可能会出现。
请访问 Ultimate Video Player 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。