平台
wordpress
组件
wp-file-checker
修复版本
0.6.1
CVE-2024-35743 是 Siteclean SC filechecker 中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求访问系统中的任意文件,可能导致敏感信息泄露或恶意代码执行。该漏洞影响 SC filechecker 版本小于等于 0.6 的用户。已发布补丁版本 0.6.1,建议立即升级。
该路径遍历漏洞允许攻击者绕过安全限制,直接访问服务器上的文件系统。攻击者可以利用此漏洞读取、修改甚至删除敏感文件,例如配置文件、数据库备份或源代码。如果服务器上存储了用户数据,攻击者可能能够窃取个人信息。此外,攻击者还可以利用此漏洞上传恶意文件,从而进一步控制服务器。由于该漏洞允许访问任意文件,因此其潜在影响非常严重,可能导致数据泄露、服务中断甚至系统被完全控制。
该漏洞已公开披露,存在公开的利用方法。目前尚无关于该漏洞被大规模利用的公开报告,但由于其易于利用,存在被攻击者的利用的可能性。建议密切关注安全社区的动态,及时采取应对措施。CISA尚未将其添加到KEV目录。
WordPress websites using the SC filechecker plugin, particularly those running versions prior to 0.6.1, are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with misconfigured file permissions are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/sc-filechecker/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/sc-filechecker/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.17% (39% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到 SC filechecker 0.6.1 版本。如果无法立即升级,可以尝试限制 SC filechecker 的访问权限,例如将其部署在隔离的网络环境中。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以过滤掉包含路径遍历攻击模式的请求。还可以监控 SC filechecker 的日志文件,以检测可疑活动。升级后,请验证文件访问权限是否已正确配置,并确认漏洞已成功修复。
Actualice el plugin SC filechecker a una versión posterior a la 0.6. Si no hay una versión disponible, considere desinstalar el plugin hasta que se publique una versión corregida. Esto evitará la eliminación arbitraria de archivos en su servidor.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-35743 是 SC filechecker 插件中的一个路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用 SC filechecker 版本小于等于 0.6,则可能受到此漏洞的影响。请立即升级到 0.6.1 版本。
最有效的修复方法是升级到 SC filechecker 0.6.1 版本。
目前尚无大规模利用的公开报告,但由于其易于利用,存在被攻击者的利用的可能性。
请访问 Siteclean 官方网站或 WordPress 插件目录,查找有关 CVE-2024-35743 的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。