MEDIUMCVE-2024-2473CVSS 5.3

CVE-2024-2473 WPS Hide Login 登录页面泄露漏洞

平台

wordpress

组件

wps-hide-login

修复版本

1.9.16

AI Confidence: highNVDEPSS 11.8%已审阅: 2026年3月

在NVD查看

保存

CVE-2024-2473 描述了 WPS Hide Login 插件中存在的登录页面泄露漏洞。该漏洞源于当提供 'action=postpass' 参数时创建的绕过。攻击者可以轻松发现被插件隐藏的登录页面。受影响的版本包括 1.9.15.2 及以下版本。由于没有官方补丁，用户应采取其他安全措施。

影响与攻击场景

CVE-2024-2473 影响 WordPress 的 WPS Hide Login 插件，导致登录页面泄露漏洞。这是由于当提供 'action=postpass' 参数时，会创建一个绕过机制。攻击者无需身份验证即可轻松发现插件可能隐藏的任何登录页面。CVSS 评分 5.3 表示中等风险，但由于漏洞易于利用，因此对依赖此插件来增强安全性的网站而言，这是一个重大问题。登录表单的泄露可能导致暴力破解攻击和凭据盗窃，从而损害网站的完整性和用户数据保密性。为了减轻这种风险，务必将插件更新到最新版本。

利用背景

利用 CVE-2024-2473 相对简单。攻击者只需将 'action=postpass' 参数添加到 WordPress 网站的 URL 即可。例如，如果原始 URL 为 'https://example.com/wp-login.php'，攻击者可以使用 'https://example.com/wp-login.php?action=postpass' 来揭示隐藏登录表单的位置。无需身份验证即可利用此漏洞。漏洞易于利用意味着攻击者可以自动化发现易受攻击网站的过程。一旦发现登录表单，攻击者可能会尝试暴力破解攻击来猜测用户凭据。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

11.76% (94% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件wps-hide-login

供应商tabrisrp

影响范围修复版本

* – 1.9.15.21.9.16

弱点分类 (CWE)

CWE-863

时间线

已保留2024-03-14
发布日期2024-06-11
修改日期2024-08-01
EPSS 更新日期2026-04-02

未修复 — 披露已712天

缓解措施和替代方案

针对 CVE-2024-2473 的直接缓解措施是将 WPS Hide Login 插件更新到最新版本（大于 1.9.15.2）。开发人员已发布一个更新，解决了绕过漏洞。此外，请检查插件的配置，以确保已实施最佳安全实践。考虑实施诸如为用户启用双因素身份验证 (2FA) 之类的额外安全措施，以进一步加强对攻击的保护。定期监控服务器日志中与未经授权的登录尝试相关的可疑活动是一种重要的预防措施。如果无法立即更新，则在应用更新之前暂时禁用插件是一种可行的选择。

修复方法

请将 WPS Hide Login 插件更新到最新可用版本。该漏洞存在于 1.9.15.2 及更早版本中。更新将修复登录页面泄露问题。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2024-2473 是什么 — WPS Hide Login 中的漏洞？

这是一个 WordPress 插件，允许您隐藏默认登录页面以提高安全性。

WPS Hide Login 中的 CVE-2024-2473 是否会影响我？

更新会修复一个漏洞，该漏洞允许攻击者找到隐藏的登录页面，从而使攻击更容易。

如何修复 WPS Hide Login 中的 CVE-2024-2473？

在您能够更新之前，暂时禁用插件是一种选择。

CVE-2024-2473 是否正在被积极利用？

实施双因素身份验证 (2FA) 并监控服务器日志是良好的实践。

在哪里可以找到 WPS Hide Login 关于 CVE-2024-2473 的官方安全通告？

重要的是随时了解有关 WordPress 和您使用的插件的最新安全新闻。