HIGHCVE-2024-32807CVSS 8.5

WordPress Brevo for WooCommerce 插件 <= 4.0.17 - 任意文件下载和删除漏洞

Q: 什么是 CVE-2024-32807 — 路径遍历漏洞 in Brevo for WooCommerce?

CVE-2024-32807 是 Brevo for WooCommerce 插件中发现的路径遍历漏洞，允许攻击者访问服务器上的任意文件。

Q: 我是否受到 CVE-2024-32807 in Brevo for WooCommerce 的影响?

如果您正在使用 Brevo for WooCommerce 的版本小于或等于 4.0.17，则您可能会受到影响。

Q: 我如何修复 CVE-2024-32807 in Brevo for WooCommerce?

立即将 Brevo for WooCommerce 升级到 4.0.18 或更高版本。

Q: CVE-2024-32807 是否正在被积极利用?

目前没有公开的漏洞利用程序，但由于漏洞的严重性，预计可能会出现。

Q: 在哪里可以找到 Brevo for WooCommerce 的官方公告，关于 CVE-2024-32807?

请访问 Brevo 的安全公告页面，以获取有关此漏洞的更多信息：[https://brevo.com/security/](https://brevo.com/security/)

平台

wordpress

组件

woocommerce-sendinblue-newsletter-subscription

修复版本

4.0.18

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-32807 描述了 Brevo for WooCommerce 插件中的路径遍历漏洞。该漏洞允许攻击者通过操纵 Web 输入来访问服务器上的文件系统，可能导致敏感信息泄露或恶意文件执行。此漏洞影响 Brevo for WooCommerce 的版本从 n/a 到 4.0.17。已发布补丁版本 4.0.18。

影响与攻击场景

攻击者可以利用此路径遍历漏洞访问服务器文件系统中的任意文件。这可能包括读取配置文件、源代码、日志文件或其他敏感数据。如果攻击者能够访问包含凭据或 API 密钥的文件，他们可能能够获得对其他系统的访问权限，从而实现横向移动。此外，攻击者可能能够上传恶意文件并执行代码，从而完全控制受影响的网站。此漏洞的潜在影响范围广泛，可能导致数据泄露、服务中断和声誉损害。

利用背景

目前没有公开的漏洞利用程序，但由于该漏洞的严重性和易于利用性，预计可能会出现。该漏洞已于 2024 年 5 月 6 日公开披露。建议密切关注安全社区的动态，并及时采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。

哪些人处于风险中翻译中…

Websites using Brevo for WooCommerce, particularly those with older versions (≤4.0.17), are at risk. Shared hosting environments are especially vulnerable, as attackers could potentially exploit this vulnerability to gain access to other websites hosted on the same server. Sites with weak file permission configurations are also at increased risk.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/brevo-sendinblue-woocommerce/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/brevo-sendinblue-woocommerce/../../../../etc/passwd' # Attempt path traversal

攻击时间线

2024-05-06Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.50% (66% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件woocommerce-sendinblue-newsletter-subscription

供应商Brevo

影响范围修复版本

0.0.0 – 4.0.174.0.18

弱点分类 (CWE)

CWE-22

时间线

已保留2024-04-18
发布日期2024-05-06
修改日期2024-08-02
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是立即将 Brevo for WooCommerce 升级到 4.0.18 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 Web 服务器的目录访问权限，确保插件目录及其子目录受到严格保护。实施 Web 应用防火墙 (WAF) 规则，以检测和阻止包含路径遍历攻击模式的请求。审查 Brevo for WooCommerce 插件的配置，确保没有不必要的目录或文件暴露。在升级后，请验证插件是否正常运行，并检查服务器日志中是否有任何异常活动。

修复方法翻译中…

Actualice el plugin Brevo for WooCommerce a una versión posterior a la 4.0.17. Esto solucionará la vulnerabilidad de path traversal que permite la descarga y eliminación arbitraria de archivos. La actualización se puede realizar directamente desde el panel de administración de WordPress.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-32807 — 路径遍历漏洞 in Brevo for WooCommerce?