平台
wordpress
组件
xforwoocommerce
修复版本
2.0.3
CVE-2024-33628 描述了 XforWooCommerce 插件中的路径遍历漏洞,允许攻击者进行 PHP 本地文件包含。该漏洞影响 XforWooCommerce 的 n/a 版本到 2.0.2 版本。成功利用此漏洞可能导致攻击者访问服务器上的敏感文件,甚至执行恶意代码。已发布安全补丁修复此问题。
攻击者可以利用此路径遍历漏洞,通过构造恶意的文件路径,访问服务器上的任意文件。这可能包括包含敏感配置信息、数据库凭据或源代码的文件。攻击者还可以利用本地文件包含功能,执行任意 PHP 代码,从而完全控制受影响的 WordPress 站点。由于漏洞允许本地文件包含,因此攻击者可能能够读取服务器上的其他应用程序或服务的配置文件,从而实现横向移动。该漏洞的潜在影响范围取决于服务器的配置和访问权限。
该漏洞已公开披露,并且存在利用此漏洞的潜在风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。公开的 PoC 尚未发现,但漏洞的本质使其易于利用。
WordPress websites utilizing the XforWooCommerce plugin, particularly those running versions prior to 2.0.3, are at risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are websites with misconfigured file permissions that could exacerbate the impact of a successful exploit.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xforwoocommerce/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/xforwoocommerce/path/to/file../sensitive_file.phpdisclosure
漏洞利用状态
EPSS
1.08% (78% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 XforWooCommerce 升级至 2.0.3 或更高版本。如果无法立即升级,可以尝试限制 XforWooCommerce 插件的访问权限,例如将其移动到更安全的目录。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止包含恶意文件路径的请求。监控 XforWooCommerce 插件的日志文件,以检测任何可疑活动。如果无法升级,请确保 WordPress 站点具有最新的安全补丁,并定期审查服务器配置。
Actualice el plugin XforWooCommerce a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-33628 是 XforWooCommerce 插件中的一个安全漏洞,允许攻击者通过构造恶意的文件路径访问服务器上的任意文件,可能导致敏感信息泄露或代码执行。
如果您正在使用 XforWooCommerce 的 n/a 到 2.0.2 版本,则可能受到此漏洞的影响。请立即升级到 2.0.3 或更高版本。
最有效的修复方法是升级 XforWooCommerce 插件到 2.0.3 或更高版本。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 XforWooCommerce 官方网站或 WordPress 插件目录,查找有关此漏洞的官方安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。