平台
wordpress
组件
file-manager-advanced-shortcode
修复版本
2.6.0
2.6.0
CVE-2024-13914描述了WordPress File Manager Advanced Shortcode插件中的本地文件包含(LFI)漏洞。该漏洞允许经过身份验证的攻击者(具有管理员级别权限及以上)通过'filemanageradvanced'短代码包含并执行任意JavaScript文件。这可能导致访问控制绕过、敏感数据泄露,甚至在某些情况下实现代码执行。
攻击者利用此漏洞可以执行恶意JavaScript代码,从而完全控制受影响的WordPress站点。他们可以窃取数据库凭据、用户数据、上传恶意文件,甚至完全接管服务器。由于攻击者需要管理员权限才能利用此漏洞,因此其影响范围主要集中在拥有管理员帐户的内部威胁或具有管理员帐户凭据的外部攻击者。如果攻击者能够成功执行JavaScript代码,他们可以绕过任何安全措施,并访问站点上的任何文件和资源。该漏洞的潜在影响非常严重,可能导致数据泄露、服务中断和声誉损害。
目前尚未公开发现针对此漏洞的活跃利用,但该漏洞已公开披露,存在被利用的风险。该漏洞的CVSS评分为7.2(高),表明其具有较高的利用可能性。建议密切关注安全社区的动态,并及时采取缓解措施。该漏洞属于本地文件包含漏洞,与类似漏洞的利用模式相似。
WordPress sites utilizing the File Manager Advanced Shortcode plugin, particularly those with administrator accounts that have access to the file management functionality, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
wp plugin list | grep 'File Manager Advanced Shortcode'• wordpress / plugin: Check the plugin version. If it's <= 2.5.6, the system is vulnerable.
wp plugin list --status=active | grep 'File Manager Advanced Shortcode'• wordpress / plugin: Examine WordPress logs for suspicious file inclusion attempts involving the 'filemanageradvanced' shortcode.
grep 'file_manager_advanced' /var/log/apache2/error.log• wordpress / plugin: Review file upload directories for unexpected JavaScript files.
ls -l /path/to/wordpress/wp-content/uploads/disclosure
漏洞利用状态
EPSS
0.71% (72% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将File Manager Advanced Shortcode插件升级至2.6.0版本或更高版本。如果升级会导致站点中断,可以考虑回滚到之前的稳定版本,并暂时禁用该插件。此外,可以实施Web应用防火墙(WAF)规则,以阻止对'filemanageradvanced'短代码的恶意请求。建议审查WordPress站点上的所有文件上传和包含操作,以确保它们受到适当的验证和清理。定期扫描WordPress插件是否存在已知漏洞,并及时应用补丁。
Actualice el plugin File Manager Advanced Shortcode a la versión 2.6.0 o superior. Esta actualización corrige la vulnerabilidad de inclusión de archivos locales que permite la ejecución de código JavaScript arbitrario.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-13914描述了WordPress File Manager Advanced Shortcode插件中的本地文件包含漏洞,允许攻击者执行任意JavaScript代码。
如果您正在使用File Manager Advanced Shortcode插件的版本低于2.6.0,则可能受到此漏洞的影响。
升级File Manager Advanced Shortcode插件至2.6.0版本或更高版本是修复此漏洞的最佳方法。
虽然目前尚未公开发现活跃利用,但该漏洞已公开披露,存在被利用的风险。
请访问File Manager Advanced Shortcode插件的官方网站或WordPress插件目录,以获取有关此漏洞的更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。