平台
wordpress
组件
strategery-migrations
修复版本
1.0.1
CVE-2024-35745 是 Gabriel Somoza / Joseph Fitzgibbons 的 Strategery Migrations 软件中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求访问系统中的任意文件,可能导致敏感信息泄露或系统被篡改。该漏洞影响 Strategery Migrations 的 1.0 及更早版本,已于 1.0.1 版本修复。
攻击者可以利用此路径遍历漏洞绕过访问控制机制,读取服务器上的任意文件。这可能包括包含敏感信息的文件,例如配置文件、数据库凭据或源代码。攻击者还可以利用此漏洞修改文件,从而篡改系统行为或植入恶意代码。如果服务器上存储了用户数据,攻击者可能能够访问和泄露这些数据,造成严重的隐私泄露风险。该漏洞的潜在影响范围取决于服务器上存储的数据类型和敏感程度。
该漏洞已公开披露,存在公开的利用方法。目前尚无关于该漏洞被大规模利用的公开报告,但由于其易于利用,存在被攻击者的利用的可能性。CISA 尚未将其添加到 KEV 目录。建议密切关注安全社区的动态,并及时采取缓解措施。
WordPress websites utilizing the Strategery Migrations plugin, particularly those running versions prior to 1.0.1, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as they may not be able to quickly apply updates.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/strategery-migrations/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/strategery-migrations/../../../../etc/passwd' # Check for directory traversaldisclosure
漏洞利用状态
EPSS
0.84% (75% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到 Strategery Migrations 1.0.1 或更高版本。如果无法立即升级,可以尝试限制 Strategery Migrations 插件的访问权限,例如将其限制在特定的目录中。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止包含恶意路径字符的请求。监控服务器上的文件访问日志,可以帮助检测潜在的攻击尝试。升级后,请确认通过检查文件访问权限和日志来验证漏洞是否已成功修复。
Actualiza el plugin Strategery Migrations a una versión posterior a la 1.0, si existe. Si no hay una versión disponible, considera deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la eliminación arbitraria de archivos en tu sitio web.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-35745 是 Strategery Migrations 插件中的路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用 Strategery Migrations 的 1.0 或更早版本,则可能受到此漏洞的影响。
请立即升级到 Strategery Migrations 1.0.1 或更高版本。
目前尚无大规模利用的公开报告,但由于其易于利用,存在被攻击者的利用的可能性。
请访问 Strategery Migrations 官方网站或 GitHub 仓库,查找相关安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。