平台
wordpress
组件
wp-hide-security-enhancer
修复版本
2.5.2
CVE-2024-11585描述了WordPress插件WP Hide & Security Enhancer中的一个严重漏洞,允许未经身份验证的攻击者删除服务器上的任意文件内容。该漏洞源于file-process.php文件中缺乏授权验证和不充分的文件路径验证。受影响的版本包括2.5.1及更早版本。建议用户尽快更新插件或采取缓解措施以降低风险。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞删除网站的关键配置文件、数据库文件或其他重要数据,导致网站完全瘫痪。更进一步,攻击者可能利用此漏洞删除服务器上的其他敏感文件,从而造成数据泄露或进一步的系统入侵。由于该漏洞无需身份验证,攻击者可以轻易地利用它,使得网站面临极高的安全风险。这种攻击模式类似于对文件系统权限的滥用,可能导致不可逆转的损害。
该漏洞已公开披露,并且由于其易于利用的特性,存在被积极利用的风险。目前尚未观察到大规模的利用活动,但由于缺乏身份验证要求,攻击者可以轻松地利用此漏洞。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Websites using the WP Hide & Security Enhancer plugin, particularly those running older versions (≤2.5.1), are at risk. Shared hosting environments are particularly vulnerable as they often have limited file permission controls, making it easier for attackers to exploit this vulnerability.
• wordpress / composer / npm:
grep -r 'file_process.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "WP Hide & Security Enhancer"• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-hide-security-enhancer/file-process.php?file=../../../../etc/passwddisclosure
漏洞利用状态
EPSS
2.01% (84% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将WP Hide & Security Enhancer插件升级到最新版本,该版本已修复此漏洞。如果无法立即升级,可以考虑暂时禁用该插件,以防止进一步的攻击。此外,可以配置Web应用防火墙(WAF)或代理服务器,以阻止对file-process.php文件的恶意请求。建议定期审查WordPress插件的权限设置,确保插件只拥有必要的访问权限,并避免使用过期的或不受信任的插件。
Actualice el plugin WP Hide & Security Enhancer a la última versión disponible. La vulnerabilidad que permite la eliminación de contenido de archivos arbitrarios sin autenticación se ha corregido en versiones posteriores a la 2.5.1.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-11585是一个影响WordPress插件WP Hide & Security Enhancer的漏洞,允许未经身份验证的攻击者删除服务器上的任意文件内容。
如果您正在使用WP Hide & Security Enhancer插件的版本低于或等于2.5.1,那么您就可能受到此漏洞的影响。
建议立即将WP Hide & Security Enhancer插件升级到最新版本,以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于其易于利用的特性,存在被积极利用的风险。
请访问WP Hide & Security Enhancer官方网站或WordPress插件目录,以获取有关此漏洞的官方公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。