平台
wordpress
组件
mailster
修复版本
4.0.7
CVE-2024-32523 描述了 EverPress Mailster 中的路径遍历漏洞,允许攻击者利用不当限制的路径名,从而实现 PHP 本地文件包含。该漏洞可能导致未经授权的访问敏感文件,甚至可能执行恶意代码。该漏洞影响 Mailster 的版本低于或等于 4.0.6。已发布安全补丁,建议立即升级至 4.0.7 版本。
攻击者可以利用此路径遍历漏洞读取服务器上的任意文件,包括配置文件、源代码和敏感数据。成功利用此漏洞可能导致信息泄露、代码执行,甚至可能完全控制受影响的服务器。由于 Mailster 通常用于处理电子邮件,攻击者可能能够访问用户的电子邮件内容、密码和其他个人信息。此漏洞的潜在影响范围广泛,可能对企业和个人的数据安全造成严重威胁。类似于其他文件包含漏洞,攻击者可能利用此漏洞执行任意代码,从而进一步破坏系统。
目前尚未公开发现针对此漏洞的公开利用代码 (POC)。该漏洞已添加到 CISA KEV 目录,表明其具有中等概率被利用。建议密切关注安全社区的动态,并及时采取缓解措施。NVD 于 2024-05-17 公布了此漏洞。
WordPress websites utilizing the Mailster plugin, particularly those running versions 4.0.6 or earlier, are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as are sites with legacy configurations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/mailster/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/mailster/../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep mailster• wordpress / composer / npm:
wp plugin update mailster --alldisclosure
漏洞利用状态
EPSS
29.03% (97% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Mailster 升级至 4.0.7 或更高版本。如果无法立即升级,可以尝试限制 Mailster 访问的文件目录,并实施严格的文件访问控制。此外,可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意请求。监控 Mailster 的日志文件,查找任何可疑活动,例如尝试访问不存在或受保护的文件。在升级后,请验证文件访问权限是否已正确配置,并确认漏洞已成功修复。
Actualice el plugin Mailster a una versión posterior a la 4.0.6. Esto solucionará la vulnerabilidad de inclusión de archivos locales no autenticada. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-32523 描述了 EverPress Mailster 中的路径遍历漏洞,允许攻击者通过不当限制的路径名读取服务器上的任意文件,可能导致信息泄露或代码执行。
如果您正在使用 Mailster 的版本低于或等于 4.0.6,则您可能受到此漏洞的影响。请立即升级至 4.0.7 或更高版本。
最有效的修复方法是立即将 Mailster 升级至 4.0.7 或更高版本。如果无法升级,请限制文件访问权限并使用 WAF。
目前尚未公开发现针对此漏洞的公开利用代码,但已添加到 CISA KEV 目录,表明其具有中等概率被利用。
请访问 EverPress 官方网站或 Mailster 插件页面,查找有关此漏洞的安全公告和更新说明。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。