FileOrganizer <= 1.1.4 - 认证 (管理员+) 本地 JavaScript 文件包含漏洞

该漏洞的潜在影响非常严重。攻击者可以利用此漏洞在服务器上执行任意 JavaScript 代码，从而完全控制受感染的 WordPress 网站。这可能导致敏感数据（如用户凭据、数据库内容）被窃取，网站被篡改，甚至被用于发起进一步的攻击。攻击者还可以利用此漏洞绕过访问控制，访问未经授权的资源。由于 WordPress 插件通常具有较高的权限，因此该漏洞的攻击面非常广阔，可能对整个网站的安全造成严重威胁。

WordPress websites utilizing the FileOrganizer plugin, particularly those with administrator accounts that have weak passwords or are otherwise vulnerable to compromise, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the exploitation of this vulnerability on other sites.

• wordpress / composer / npm:

grep -r 'default_lang' /var/www/html/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/

• wordpress / composer / npm:

wp plugin list --status=all | grep fileorganizer

• wordpress / composer / npm:

curl -I http://your-wordpress-site.com/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/ | grep default_lang

1. 2024-12-07Disclosure

   disclosure

1. 已保留2024-11-08
2. 发布日期2024-12-07
3. 修改日期2025-01-06
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 FileOrganizer WordPress 插件升级到最新版本。如果无法立即升级，可以考虑以下临时缓解措施：限制上传的文件类型，确保上传目录的权限设置严格，并禁用或删除 'default_lang' 参数。此外，实施 Web 应用防火墙 (WAF) 可以帮助检测和阻止恶意请求。定期审查 WordPress 插件的安全更新，并及时应用补丁。

活跃安装数

200K小众

插件评分

4.8

需要WordPress版本

5.5+

兼容至

6.9.4

需要PHP版本

5.5+