HIGHCVE-2024-13471CVSS 7.5

DesignThemes Core Features <= 4.7 - dt_process_imported_file 函数未授权访问导致未认证用户可读取任意文件

Q: 什么是CVE-2024-13471 — 任意文件访问漏洞在DesignThemes Core Features?

CVE-2024-13471描述了WordPress DesignThemes Core Features插件中由于权限检查缺失导致的任意文件访问漏洞，攻击者可以读取服务器上的任意文件。

Q: 我是否受到CVE-2024-13471在DesignThemes Core Features的影响?

如果您正在使用DesignThemes Core Features插件的版本小于或等于4.7，则可能受到此漏洞的影响。请立即检查您的插件版本。

Q: 我如何修复CVE-2024-13471在DesignThemes Core Features?

建议立即升级到DesignThemes Core Features的修复版本。如果无法升级，请实施缓解措施，例如限制文件上传目录的权限。

Q: CVE-2024-13471是否正在被积极利用?

目前尚未确认CVE-2024-13471正在被积极利用，但由于其严重性，存在被利用的风险。

Q: 在哪里可以找到DesignThemes官方关于CVE-2024-13471的公告?

请访问DesignThemes官方网站或WordPress插件目录，查找关于CVE-2024-13471的官方安全公告。

平台

wordpress

组件

designthemes-core-features

修复版本

4.7.1

AI Confidence: highNVDEPSS 1.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-13471描述了WordPress DesignThemes Core Features插件中的一个任意文件访问漏洞。该漏洞源于dtprocessimported_file函数缺少权限检查，允许未经身份验证的攻击者读取服务器上的任意文件。该漏洞影响所有版本，包括4.7及更早版本。建议用户尽快升级到修复版本或实施缓解措施。

影响与攻击场景

攻击者可以利用此漏洞读取服务器上的敏感文件，例如配置文件、数据库凭证或源代码。这可能导致信息泄露、权限提升以及进一步的攻击。攻击者可能能够获取服务器的敏感信息，并利用这些信息进行进一步的攻击，例如横向移动到其他系统或窃取用户数据。由于该漏洞无需身份验证，因此攻击面非常广，任何访问WordPress站点的攻击者都可能利用此漏洞。

利用背景

目前，该漏洞尚未被广泛利用，但由于其无需身份验证的特性，存在被利用的风险。该漏洞已于2025年3月5日公开披露。尚未发现公开的PoC，但由于漏洞的严重性，预计未来可能会出现。建议密切关注安全社区的动态，并及时采取措施。

哪些人处于风险中翻译中…

WordPress websites using the DesignThemes Core Features plugin, particularly those running versions 4.7 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable. Websites with sensitive data stored in easily accessible locations on the server are also at higher risk.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r 'dt_process_imported_file' /var/www/html/wp-content/plugins/design-themes-core-features/

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/design-themes-core-features/dt_process_imported_file.php?file=../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list --status=inactive | grep design-themes-core-features

攻击时间线

2025-03-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

1.53% (81% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件designthemes-core-features

供应商designthemes

影响范围修复版本

* – 4.74.7.1

弱点分类 (CWE)

CWE-22

时间线

已保留2025-01-16
发布日期2025-03-05
EPSS 更新日期2026-04-02

未修复 — 披露已445天

缓解措施和替代方案

为了缓解此漏洞，建议用户立即升级到DesignThemes Core Features的修复版本。如果无法立即升级，可以考虑实施以下缓解措施：限制文件上传目录的权限，使用Web应用防火墙（WAF）来阻止恶意请求，并定期审查WordPress插件的安全性。此外，可以考虑使用文件完整性监控工具来检测未经授权的文件修改。升级后，请确认漏洞已修复，例如通过尝试访问受影响的文件并验证访问被拒绝。

修复方法翻译中…

Actualizar el plugin DesignThemes Core Features a una versión posterior a la 4.7. Si no hay una actualización disponible, considere deshabilitar el plugin hasta que se publique una versión corregida.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2024-13471 — 任意文件访问漏洞在DesignThemes Core Features?