平台
wordpress
组件
boldgrid-backup
修复版本
1.15.9
CVE-2024-24869 描述了 BoldGrid Total Upkeep 中的路径遍历漏洞,允许攻击者通过构造恶意请求访问受限目录中的文件。该漏洞可能导致敏感信息泄露或未经授权的文件修改。此漏洞影响 Total Upkeep 版本小于等于 1.15.8,建议用户尽快升级至 1.15.9 版本以修复。
攻击者可以利用此路径遍历漏洞访问服务器文件系统中的敏感数据,例如配置文件、数据库凭据或源代码。攻击者可能通过构造包含“..” 序列的 URL 来绕过访问控制机制,从而访问这些文件。如果服务器上存储了敏感信息,攻击者可能会窃取这些信息并将其用于进一步的攻击,例如身份盗窃或数据泄露。此外,攻击者可能利用此漏洞修改服务器上的文件,从而导致服务中断或恶意代码注入。
该漏洞已公开披露,且 CVSS 评分为高危。目前尚未观察到大规模的利用活动,但存在潜在的利用风险。建议用户密切关注安全公告和漏洞报告,并及时采取缓解措施。该漏洞的公开披露日期为 2024 年 5 月 17 日。
WordPress websites utilizing BoldGrid Total Upkeep, particularly those with older versions (≤1.15.8) and less stringent security configurations, are at risk. Shared hosting environments where users have limited control over server permissions are also particularly vulnerable, as are systems with default or weak file access controls.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/total-upkeep/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/total-upkeep/../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
漏洞利用状态
EPSS
1.42% (81% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 BoldGrid Total Upkeep 升级至 1.15.9 或更高版本。如果无法立即升级,可以考虑实施以下临时缓解措施:配置 Web 服务器以禁用目录浏览功能,限制 Total Upkeep 插件的访问权限,并使用 Web 应用防火墙 (WAF) 过滤掉包含“..” 序列的恶意请求。此外,定期审查服务器上的文件权限,确保只有授权用户才能访问敏感文件。
Actualice el plugin Total Upkeep a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Total Upkeep' para actualizarlo.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-24869 是 BoldGrid Total Upkeep 插件中的一个路径遍历漏洞,允许攻击者访问受限目录中的文件。
如果您使用的是 BoldGrid Total Upkeep 的版本小于等于 1.15.8,则您可能受到此漏洞的影响。
请立即将 BoldGrid Total Upkeep 升级至 1.15.9 或更高版本。
目前尚未观察到大规模的利用活动,但存在潜在的利用风险。
请访问 BoldGrid 的官方安全公告页面以获取更多信息:https://boldgrid.com/security
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。