平台
wordpress
组件
mipl-wc-multisite-sync
修复版本
1.1.6
CVE-2024-12152 描述了 WordPress 插件 MIPL WC Multisite Sync 中存在的任意文件访问漏洞。该漏洞允许未经身份验证的攻击者通过 'miplwcsyncdownloadlog' 操作读取服务器上的任意文件,从而可能泄露敏感数据。受影响的版本包括 1.1.5 及更早版本。已于 2025 年 1 月 7 日公开,建议用户尽快采取措施。
攻击者可以利用此漏洞访问服务器上的任何文件,这可能导致敏感信息泄露,例如数据库凭据、API 密钥、配置文件或其他包含敏感数据的文档。攻击者可以利用此漏洞获取对服务器的更深层次的访问权限,甚至可能执行恶意代码。由于该漏洞无需身份验证,因此攻击面非常广,任何安装了受影响插件的 WordPress 站点都可能受到威胁。如果服务器上存储了用户数据,则可能导致数据泄露和隐私侵犯。
目前尚无公开的利用代码,但由于漏洞的严重性和易用性,预计未来可能会出现。该漏洞已于 2025 年 1 月 7 日公开,并被添加到 NVD 数据库中。CISA 尚未将其添加到 KEV 目录中,但其高 CVSS 评分表明存在潜在风险。
WordPress websites using the MIPL WC Multisite Sync plugin, particularly those with default or overly permissive file permissions, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'mipl_wc_sync_download_log' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mipl-wc-multisite-sync/mipl_wc_sync_download_log.php• wordpress / composer / npm:
wp plugin list | grep 'MIPL WC Multisite Sync'• wordpress / composer / npm:
wp plugin update --alldisclosure
漏洞利用状态
EPSS
5.81% (90% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到修复后的 MIPL WC Multisite Sync 版本。如果无法立即升级,可以考虑以下临时措施:限制对 'miplwcsyncdownloadlog' 操作的访问权限,例如通过修改 WordPress 权限或使用 Web 应用防火墙 (WAF) 阻止可疑请求。此外,定期审查服务器上的文件权限,确保只有授权用户才能访问敏感文件。监控 WordPress 站点日志,查找任何异常活动或未经授权的文件访问尝试。
Actualice el plugin MIPL WC Multisite Sync a la última versión disponible. La vulnerabilidad permite la descarga de archivos arbitrarios sin autenticación, por lo que es crucial actualizar para proteger la información sensible del servidor.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-12152 是 WordPress 插件 MIPL WC Multisite Sync 中发现的目录遍历漏洞,允许攻击者读取服务器上的任意文件。
如果您正在使用 MIPL WC Multisite Sync 插件的版本低于或等于 1.1.5,则您可能受到影响。
升级到 MIPL WC Multisite Sync 插件的最新版本。如果无法升级,请采取缓解措施,例如限制对相关操作的访问。
目前尚无公开的利用代码,但由于漏洞的严重性,预计未来可能会出现。
请查阅 MIPL 官方网站或 WordPress 插件目录以获取最新信息和公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。