HIGHCVE-2024-37108CVSS 8.1

WishList Member X < 3.26.7 - 认证 (订阅者+) 任意文件删除

Q: 什么是 CVE-2024-37108 — 任意文件访问漏洞在 Wishlist Member?

CVE-2024-37108 是 Wishlist Member WordPress 插件中的一个漏洞，允许经过身份验证的攻击者删除服务器上的任意文件，可能导致远程代码执行。

Q: 我是否受到 CVE-2024-37108 在 Wishlist Member 中的影响?

如果您正在使用 Wishlist Member 插件的版本 ≤3.26.7，则您可能受到此漏洞的影响。请立即检查您的插件版本。

Q: 我如何修复 CVE-2024-37108 在 Wishlist Member 中?

将 Wishlist Member 插件升级至 3.26.7 或更高版本。

Q: CVE-2024-37108 是否正在被积极利用?

虽然目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，攻击者可能会积极寻找利用此漏洞的机会。

Q: 在哪里可以找到 Wishlist Member 官方关于 CVE-2024-37108 的公告?

请访问 Wishlist Member 官方网站或 WordPress 插件目录，查找有关此漏洞的官方公告和修复说明。

平台

wordpress

组件

wishlist-member-x

修复版本

3.26.7

AI Confidence: highNVDEPSS 0.3%已审阅: 2026年5月

在NVD查看

保存

Wishlist Member WordPress 插件存在一个任意文件删除漏洞 (CVE-2024-37108)。由于文件路径验证不足，认证攻击者（Subscriber 级别及以上）可以删除服务器上的任意文件。此漏洞可能导致严重的安全问题，包括远程代码执行。受影响的版本包括 3.26.7 之前的版本。建议立即升级至 3.26.7 版本以修复此漏洞。

影响与攻击场景

该漏洞允许经过身份验证的攻击者，即使是 Subscriber 级别的用户，删除服务器上的任意文件。攻击者可以利用此漏洞删除关键配置文件，例如 wp-config.php，从而完全控制网站。删除 wp-config.php 文件将导致网站无法正常运行，并可能允许攻击者上传恶意代码并执行任意命令。攻击者还可以删除其他重要文件，从而破坏网站的完整性和可用性。此漏洞的潜在影响非常严重，可能导致数据泄露、网站劫持和进一步的攻击。

利用背景

该漏洞已公开披露，并且存在潜在的利用风险。目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，攻击者可能会积极寻找利用此漏洞的机会。建议密切关注安全社区的动态，并及时采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。

哪些人处于风险中翻译中…

WordPress websites utilizing the Wishlist Member plugin, particularly those running versions prior to 3.26.7, are at risk. Shared hosting environments are especially vulnerable, as they often have limited file permission controls and a higher density of WordPress installations, increasing the potential attack surface. Sites with legacy WordPress configurations or those that haven't implemented robust security practices are also at heightened risk.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r 'wishlist_member_delete_file' /var/www/html/wp-content/plugins/

• wordpress / composer / npm:

wp plugin list --status=active | grep Wishlist Member

• wordpress / composer / npm:

wp plugin update wishlist-member --version=3.26.7

• generic web: Check WordPress access logs for requests containing suspicious file paths or deletion attempts targeting sensitive files like wp-config.php.

攻击时间线

2024-06-20Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.28% (52% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件wishlist-member-x

供应商wordfence

影响范围修复版本

0.0.0 – 3.26.63.26.7

3.26.73.26.7

弱点分类 (CWE)

CWE-22

时间线

已保留2024-06-03
发布日期2024-06-20
修改日期2026-02-26
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是立即将 Wishlist Member 插件升级至 3.26.7 或更高版本。如果无法立即升级，可以尝试限制文件上传权限，并确保 WordPress 网站的安全性配置良好。此外，可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意文件删除请求。监控 WordPress 网站的日志文件，查找异常的文件删除活动。升级后，请验证插件是否已成功更新，并检查网站是否正常运行。

修复方法

更新至 3.26.7 版本，或更新的补丁版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-37108 — 任意文件访问漏洞在 Wishlist Member?

CVE-2024-37108 是 Wishlist Member WordPress 插件中的一个漏洞，允许经过身份验证的攻击者删除服务器上的任意文件，可能导致远程代码执行。

我是否受到 CVE-2024-37108 在 Wishlist Member 中的影响?

如果您正在使用 Wishlist Member 插件的版本 ≤3.26.7，则您可能受到此漏洞的影响。请立即检查您的插件版本。

我如何修复 CVE-2024-37108 在 Wishlist Member 中?

将 Wishlist Member 插件升级至 3.26.7 或更高版本。

CVE-2024-37108 是否正在被积极利用?

虽然目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，攻击者可能会积极寻找利用此漏洞的机会。

在哪里可以找到 Wishlist Member 官方关于 CVE-2024-37108 的公告?

请访问 Wishlist Member 官方网站或 WordPress 插件目录，查找有关此漏洞的官方公告和修复说明。

WishList Member X < 3.26.7 - 认证 (订阅者+) 任意文件删除

影响与攻击场景

利用背景

哪些人处于风险中翻译中…

检测步骤翻译中…

攻击时间线

威胁情报

受影响的软件

弱点分类 (CWE)

时间线

缓解措施和替代方案

修复方法

CVE 安全通讯

常见问题

什么是 CVE-2024-37108 — 任意文件访问漏洞在 Wishlist Member?

我是否受到 CVE-2024-37108 在 Wishlist Member 中的影响?

我如何修复 CVE-2024-37108 在 Wishlist Member 中?

CVE-2024-37108 是否正在被积极利用?

在哪里可以找到 Wishlist Member 官方关于 CVE-2024-37108 的公告?

你的项目受影响吗?

检测此 CVE 是否影响你的项目