平台
wordpress
组件
epoll-wp-voting
修复版本
3.1.1
CVE-2024-31240 是 InfoTheme WP Poll Maker 插件中的路径遍历漏洞。此漏洞允许未经授权的用户访问服务器上的任意文件,可能导致敏感信息泄露或恶意代码执行。该漏洞影响 WP Poll Maker 的 3.1 及更早版本,已于 2024 年 4 月 10 日公开。建议用户立即升级至 3.1.1 版本以解决此问题。
攻击者可以利用此路径遍历漏洞,通过构造恶意的 URL 请求,访问服务器文件系统中的敏感文件。这可能包括包含数据库凭据、API 密钥、源代码或其他机密信息的配置文件。成功利用此漏洞可能导致数据泄露、系统入侵,甚至完全控制受影响的 WordPress 站点。攻击者还可以利用此漏洞上传恶意文件,例如 PHP 后门,从而进一步控制服务器。
目前尚未公开发现针对此漏洞的利用代码,但由于路径遍历漏洞的普遍性,存在被利用的风险。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,并及时采取缓解措施。
WordPress websites utilizing the WP Poll Maker plugin, particularly those running versions 3.1 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable. Sites with sensitive data stored in accessible locations on the server face the highest risk.
• wordpress / composer / npm:
wp plugin list | grep Poll Maker• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-poll-maker/*• generic web: Check WordPress plugin directory for unauthorized modifications or unexpected files.
disclosure
漏洞利用状态
EPSS
0.31% (54% 百分位)
CVSS 向量
最有效的缓解措施是立即将 WP Poll Maker 升级至 3.1.1 版本。如果升级会导致兼容性问题,可以考虑回滚到之前的稳定版本,但请注意这可能无法完全消除风险。此外,可以实施 Web 应用防火墙 (WAF) 规则,以阻止包含路径遍历尝试的请求。 监控 WordPress 站点上的文件访问日志,以检测可疑活动。 限制 WordPress 插件的上传和安装权限,以减少潜在的攻击面。
Actualice el plugin WP Poll Maker a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-31240 是 InfoTheme WP Poll Maker 插件中的一个安全漏洞,允许攻击者通过构造恶意的 URL 请求访问服务器上的任意文件。
如果您正在使用 WP Poll Maker 3.1 或更早版本,则可能受到此漏洞的影响。请立即升级至 3.1.1 版本。
最简单的修复方法是升级 WP Poll Maker 插件至 3.1.1 版本。
目前尚未公开发现针对此漏洞的利用代码,但存在被利用的风险。
请访问 InfoTheme 官方网站或 WordPress 插件目录,查找有关 CVE-2024-31240 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。