平台
wordpress
组件
ovic-import-demo
修复版本
1.6.4
CVE-2024-35754 描述了 Ovic Team Ovic Importer 中的路径遍历漏洞。该漏洞允许攻击者绕过安全限制,访问系统中的任意文件。此问题影响 Ovic Importer 的所有版本,直至 1.6.3。已发布安全补丁版本 1.6.4,建议立即更新。
攻击者可以利用此路径遍历漏洞读取敏感文件,例如配置文件、数据库凭证或源代码。如果攻击者能够访问服务器上的其他服务,他们还可以利用此漏洞进行横向移动。该漏洞的潜在影响包括数据泄露、系统入侵和恶意软件部署。虽然目前尚未观察到大规模利用,但由于其易于利用,该漏洞可能成为攻击者的目标。
该漏洞已公开披露,且易于利用。目前尚未将其添加到 CISA KEV 目录,但由于其高危等级和易利用性,应予以高度关注。公开的 PoC 尚未发现,但漏洞的本质使其容易被开发。
WordPress websites utilizing the Ovic Importer plugin, particularly those running older versions (≤1.6.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with misconfigured file permissions that allow the web server user to access sensitive files are at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ovic-importer/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/ovic-importer/../../../../etc/passwd' # Check for file accessdisclosure
漏洞利用状态
EPSS
0.78% (74% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Ovic Importer 升级至 1.6.4 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来阻止对可能触发漏洞的请求。此外,限制 Ovic Importer 运行用户权限可以降低漏洞的影响。监控 Ovic Importer 的访问日志,查找可疑的文件访问尝试,有助于及早发现潜在攻击。
Actualice el plugin Ovic Importer a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de Path Traversal.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-35754 描述了 Ovic Importer 在版本小于等于 1.6.3 中存在的路径遍历漏洞,攻击者可利用此漏洞访问受限目录中的任意文件。
如果您的 Ovic Importer 版本小于 1.6.4,则您可能受到此漏洞的影响。请立即检查您的插件版本并升级。
将 Ovic Importer 升级至 1.6.4 或更高版本以修复此漏洞。
虽然目前尚未观察到大规模利用,但由于其易于利用,该漏洞可能成为攻击者的目标。
请访问 Ovic Team 的官方网站或 WordPress 插件目录,查找有关 CVE-2024-35754 的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。