平台
wordpress
组件
stockholm-core
修复版本
2.4.2
CVE-2024-34554 描述了 Select-Themes Stockholm Core 中的路径遍历漏洞,允许攻击者通过PHP本地文件包含(LFI)访问服务器上的文件。此漏洞影响版本小于或等于 2.4.1 的 Stockholm Core。已发布补丁版本 2.4.2,建议用户尽快升级。
攻击者可以利用此路径遍历漏洞,通过构造恶意的URL,访问服务器文件系统中的任意文件。这可能导致敏感信息泄露,例如配置文件、数据库凭证、源代码等。如果攻击者能够读取包含数据库连接信息的文件,他们可能进一步访问数据库,导致数据泄露或篡改。由于该漏洞允许PHP本地文件包含,攻击者甚至可能执行任意PHP代码,从而完全控制服务器。
该漏洞已公开披露,存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到CISA KEV目录。
WordPress websites utilizing the Stockholm Core plugin, particularly those running versions prior to 2.4.2, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a successful exploit on one site could potentially impact others. Websites with misconfigured file permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/stockholm-core/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/stockholm-core/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.65% (71% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Select-Themes Stockholm Core 升级至 2.4.2 或更高版本。如果升级会导致系统中断,可以考虑临时禁用 Stockholm Core 插件。此外,可以配置Web应用防火墙(WAF)或代理服务器,以阻止包含恶意路径的请求。例如,可以设置规则来过滤包含 '../' 或其他路径遍历字符的URL。 监控服务器日志,查找异常的文件访问尝试,有助于及早发现攻击。
Actualice el plugin Stockholm Core a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 2.4.1. Consulte el registro de cambios del plugin para obtener más detalles sobre la actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-34554 是 Select-Themes Stockholm Core (≤2.4.1) 中发现的路径遍历漏洞,允许攻击者通过PHP本地文件包含访问服务器上的文件。
如果您正在使用 Select-Themes Stockholm Core 的版本小于或等于 2.4.1,则您可能受到此漏洞的影响。
升级 Select-Themes Stockholm Core 至 2.4.2 或更高版本以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 Select-Themes 官方网站或 WordPress 插件目录,查找有关 CVE-2024-34554 的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。