平台
wordpress
组件
et-core-plugin
修复版本
5.3.9
CVE-2024-33557是一个路径遍历漏洞,存在于XStore Core组件中。该漏洞允许攻击者通过构造恶意请求,包含并执行服务器上的任意文件,可能导致敏感信息泄露或远程代码执行。该漏洞影响XStore Core版本小于或等于5.3.8的版本,已于5.3.9版本修复。
攻击者可以利用此路径遍历漏洞,通过包含并执行服务器上的任意文件,获取敏感信息,例如数据库凭据、配置文件或其他包含敏感数据的文档。更严重的情况下,攻击者可能能够执行恶意代码,完全控制受影响的服务器。由于XStore Core通常用于电子商务网站,因此此漏洞可能导致客户数据泄露、财务损失和声誉损害。此漏洞的潜在影响类似于其他本地文件包含漏洞,攻击者可以利用其访问和修改服务器上的关键文件。
该漏洞已于2024年6月4日公开披露。目前尚未观察到大规模的公开利用,但由于该漏洞的严重性和易于利用性,预计可能会被积极利用。建议密切关注安全社区的动态,并及时采取缓解措施。该漏洞尚未被添加到CISA KEV目录。
Websites using the XStore Core WordPress plugin, particularly those running older versions (≤5.3.8), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the patch. Sites with lax file upload permissions are especially susceptible.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xstore-core/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/xstore-core/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
1.66% (82% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将XStore Core升级至5.3.9或更高版本。如果升级不可行,可以考虑以下临时缓解措施:限制XStore Core的目录访问权限,确保其只能访问必要的文件。实施严格的文件输入验证,防止攻击者构造恶意路径。配置Web应用程序防火墙(WAF),以检测和阻止路径遍历攻击。定期审查XStore Core的配置,确保其遵循安全最佳实践。
Actualice el plugin XStore Core a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 5.3.8. Para actualizar, vaya al panel de administración de WordPress, luego a la sección de plugins y busque XStore Core. Si hay una actualización disponible, instálela inmediatamente.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-33557是一个路径遍历漏洞,允许攻击者通过包含并执行服务器上的任意文件,影响XStore Core组件。
如果您正在使用XStore Core版本小于或等于5.3.8,则可能受到此漏洞的影响。请立即检查您的版本并升级。
升级至XStore Core 5.3.9或更高版本是修复此漏洞的最佳方法。
目前尚未观察到大规模的公开利用,但由于漏洞的严重性,预计可能会被利用。
请访问XStore Core官方网站或查看他们的支持论坛,以获取有关此漏洞的官方公告和更新。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。