平台
wordpress
组件
profit-products-tables-for-woocommerce
修复版本
1.0.7
CVE-2024-10959 描述了 WooCommerce Active Products Tables 插件中的一个短代码执行漏洞。该漏洞允许未经身份验证的攻击者通过 wootgetsmth AJAX 动作执行任意短代码,可能导致恶意代码注入和服务器控制。该漏洞影响所有版本低于或等于 1.0.6.5 的插件。建议立即升级到最新版本以修复此安全问题。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞在 WordPress 站点上执行任意短代码,从而执行恶意代码、窃取敏感数据、篡改网站内容,甚至完全控制服务器。攻击者可以利用此漏洞进行跨站脚本攻击 (XSS)、远程代码执行 (RCE) 等,对网站和用户造成严重损害。由于 WooCommerce 插件广泛使用,该漏洞可能影响大量 WordPress 站点,造成大规模的安全事件。
该漏洞已公开披露,存在公开的利用方法。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会被攻击者利用。建议密切关注安全社区的动态,及时采取应对措施。该漏洞尚未被添加到 CISA KEV 目录。
WordPress sites using the Active Products Tables for WooCommerce plugin, particularly those running older versions (≤1.0.6.5), are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable. Sites with weak security configurations or those lacking regular security audits are at increased risk.
• wordpress / composer / npm:
grep -r 'woot_get_smth' /var/www/html/wp-content/plugins/active-products-tables-for-woocommerce/• wordpress / composer / npm:
wp plugin list --status=active | grep 'active-products-tables-for-woocommerce'• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=woot_get_smth¶m=test | grep -i '200 OK'disclosure
漏洞利用状态
EPSS
1.19% (79% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 WooCommerce Active Products Tables 插件升级到最新版本,该版本已修复此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:禁用 wootgetsmth AJAX 动作,限制用户对插件的访问权限,并加强 WordPress 站点的安全配置。此外,建议使用 Web 应用防火墙 (WAF) 来检测和阻止恶意请求。监控插件日志,查找可疑活动。
Actualice el plugin Active Products Tables for WooCommerce a la última versión disponible. La vulnerabilidad permite la ejecución de shortcodes arbitrarios por usuarios no autenticados, por lo que es crucial actualizar para mitigar el riesgo.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-10959 是 WooCommerce Active Products Tables 插件中发现的一个高危漏洞,允许攻击者执行任意短代码,可能导致恶意代码注入和服务器控制。
如果您使用的 WooCommerce Active Products Tables 插件版本低于或等于 1.0.6.5,则您可能受到此漏洞的影响。
最有效的修复方法是立即将 WooCommerce Active Products Tables 插件升级到最新版本。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会被攻击者利用。
请访问 WooCommerce 官方网站或插件的更新日志,查找有关 CVE-2024-10959 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。