WordPress Premmerce Permalink Manager for WooCommerce 插件 <= 2.3.10 - 存在本地文件包含 (Local File Inclusion) 漏洞

攻击者可以利用此路径遍历漏洞读取服务器上的任意文件，包括配置文件、源代码和其他敏感数据。如果攻击者能够包含并执行恶意 PHP 代码，则可能导致远程代码执行 (RCE)，从而完全控制受影响的 WordPress 站点。攻击者可能窃取数据库凭据、用户数据、网站配置信息，甚至篡改网站内容。由于该漏洞允许本地文件包含，攻击者可能能够访问服务器上的其他应用程序或服务，从而实现横向移动。

Websites using the Premmerce Permalink Manager for WooCommerce plugin, particularly those running older versions (≤2.3.10), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over server file permissions. Sites with misconfigured file permissions or inadequate WAF protection are also at increased risk.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/wp-admin/admin.php?page=premmerce-permalink-manager&file=../../../../etc/passwd' # Attempt to access sensitive files

1. 2024-05-17Disclosure

   disclosure

1. 已保留2024-02-28
2. 发布日期2024-05-17
3. 修改日期2024-08-02
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 Premmerce Permalink Manager for WooCommerce 升级至 2.3.11 或更高版本。如果升级会破坏现有功能，可以考虑回滚到之前的稳定版本，但请注意这只是临时解决方案。此外，可以配置 Web 应用程序防火墙 (WAF) 或反向代理服务器，以阻止包含恶意路径字符的请求。审查 Premmerce Permalink Manager 的配置，确保文件访问权限受到适当限制，并禁用不必要的功能。

活跃安装数

50K小众

插件评分

4.0

需要WordPress版本

4.8+

兼容至

6.9.4

需要PHP版本

5.6+