平台
wordpress
组件
sp-client-document-manager
修复版本
4.71.1
CVE-2024-37224描述了SP Project & Document Manager中的目录遍历漏洞。该漏洞允许攻击者通过构造恶意请求访问受限制目录之外的文件,可能导致敏感信息泄露。此漏洞影响SP Project & Document Manager版本小于等于4.71。已发布补丁版本4.71.1。
攻击者可以利用此目录遍历漏洞读取服务器上的任意文件,包括配置文件、源代码、数据库凭据等。如果服务器上存储了敏感信息,攻击者可能会获取这些信息,从而导致数据泄露、身份盗用甚至系统控制。该漏洞的潜在影响范围取决于服务器上存储的数据类型和敏感程度。如果服务器运行在公共环境中,或者与其他系统共享资源,则漏洞的影响范围可能会更大。
该漏洞已公开披露,存在公开的利用代码。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞已添加到NVD数据库中,CISA尚未将其列入KEV目录。
Organizations using SP Project & Document Manager, particularly those running older versions (≤4.71) on shared hosting environments, are at increased risk. Sites with misconfigured file permissions or inadequate WAF protection are also more vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/sp-project-document-manager/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/uploads/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
1.49% (81% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到SP Project & Document Manager 4.71.1版本。如果无法立即升级,可以考虑使用Web应用防火墙(WAF)来过滤恶意请求,阻止攻击者访问敏感文件。此外,可以审查SP Project & Document Manager的配置,确保文件访问权限受到严格限制。如果使用共享主机环境,请联系主机提供商,了解他们是否提供了额外的安全措施。
Actualice el plugin SP Project & Document Manager a la última versión disponible. La vulnerabilidad de path traversal permite el acceso a archivos no autorizados, por lo que es crucial actualizar para mitigar el riesgo. Consulte la página del plugin en WordPress.org para obtener la versión más reciente.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-37224描述了SP Project & Document Manager中存在的目录遍历漏洞,攻击者可利用该漏洞读取服务器上的任意文件。
如果您的SP Project & Document Manager版本小于等于4.71,则您可能受到影响。请立即检查您的版本并升级。
升级到SP Project & Document Manager 4.71.1版本可以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问SP Project & Document Manager的官方网站或查看其插件页面,以获取有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。