平台
wordpress
组件
error-log-viewer-wp
修复版本
1.0.2
CVE-2024-12849描述了WordPress Error Log Viewer By WP Guru插件中的一个任意文件读取漏洞。该漏洞允许未经身份验证的攻击者通过wpajaxnoprivelvwplog_download AJAX操作读取服务器上的任意文件,从而可能泄露敏感数据。该漏洞影响所有版本等于或低于1.0.1.3的插件。建议用户尽快更新插件或采取其他缓解措施以降低风险。
攻击者可以利用此漏洞读取服务器上的任何文件,包括包含数据库凭据、API密钥、配置文件或其他敏感信息的配置文件。成功利用此漏洞可能导致数据泄露、系统入侵,甚至完全控制受影响的WordPress站点。由于该漏洞不需要身份验证,因此攻击者可以匿名利用它,这增加了其潜在影响。攻击者可能利用此漏洞获取服务器的内部信息,用于进一步的攻击活动,例如横向移动到其他系统或发起针对用户的网络钓鱼攻击。
目前没有公开的漏洞利用程序,但该漏洞的严重性表明它可能成为攻击者的目标。该漏洞已发布,因此攻击者可能会积极寻找利用方法。建议密切关注安全社区的更新,并采取必要的预防措施。该漏洞属于高危漏洞,应尽快修复。
WordPress websites using the Error Log Viewer By WP Guru plugin, particularly those running versions prior to 1.0.1.3, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the exposure of data from other sites.
• wordpress / composer / npm:
grep -r 'wp_ajax_nopriv_elvwp_log_download' /var/www/html/wp-content/plugins/error-log-viewer-by-wp-guru/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=elvwp_log_download&file=/etc/passwd• wordpress / composer / npm:
wp plugin list | grep 'Error Log Viewer By WP Guru'disclosure
漏洞利用状态
EPSS
92.98% (100% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将Error Log Viewer By WP Guru插件升级到最新版本,该版本修复了此漏洞。如果无法立即升级,可以考虑禁用插件或限制对wpajaxnoprivelvwplog_download AJAX操作的访问。可以使用WordPress防火墙(WAF)或服务器级别的访问控制列表(ACL)来阻止未经授权的访问。此外,应定期审查服务器上的文件权限,确保敏感文件受到保护。升级后,请验证漏洞是否已成功修复,例如通过尝试访问受保护的文件并确认访问被拒绝。
Actualice el plugin Error Log Viewer By WP Guru a una versión posterior a la 1.0.1.3. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-12849描述了WordPress Error Log Viewer By WP Guru插件中的一个任意文件读取漏洞,允许攻击者读取服务器上的任意文件。
如果您正在使用Error Log Viewer By WP Guru插件的版本等于或低于1.0.1.3,则您可能受到此漏洞的影响。
立即将Error Log Viewer By WP Guru插件升级到最新版本以修复此漏洞。
虽然目前没有公开的漏洞利用程序,但由于漏洞的严重性,攻击者可能会积极寻找利用方法。
请查阅WordPress官方安全公告或Error Log Viewer By WP Guru插件的官方网站以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。