平台
wordpress
组件
salon-booking-system
修复版本
9.9.1
CVE-2024-37231 是 Salon Booking System 中的路径遍历漏洞,允许攻击者进行文件操作。该漏洞影响 Salon Booking System 的 9.9 及更早版本。建议用户尽快升级至 9.9.1 版本以修复此安全问题。
攻击者可以利用此路径遍历漏洞访问服务器上的任意文件,包括敏感配置文件、源代码或其他用户数据。成功利用此漏洞可能导致信息泄露、权限提升,甚至可能导致服务器被完全控制。由于 Salon Booking System 通常用于存储客户数据和业务信息,因此该漏洞可能对客户隐私和业务运营造成严重影响。类似漏洞的利用通常涉及构造恶意URL,通过特殊字符绕过访问控制。
该漏洞已公开披露,存在公开的利用方法。目前尚无关于该漏洞被大规模利用的公开报告,但由于其易于利用,建议尽快采取缓解措施。CISA 尚未将其添加到 KEV 目录。NVD 发布日期为 2024-06-24。
Organizations using the Salon Booking System plugin, particularly those with older versions (≤9.9) and those who haven't implemented robust file access controls, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one user's installation could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/salon-booking-system/• generic web:
curl -I http://your-salon-booking-system/../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.14% (34% 百分位)
CISA SSVC
CVSS 向量
除了升级至 9.9.1 版本外,如果无法立即升级,可以尝试限制 Salon Booking System 的文件上传目录,并对所有用户输入进行严格的验证和过滤。配置 Web 应用防火墙 (WAF) 可以帮助阻止恶意请求。同时,定期审查服务器上的文件权限,确保敏感文件受到保护。升级后,请确认通过访问受保护的文件路径,验证漏洞是否已成功修复。
Actualice el plugin Salon Booking System a la última versión disponible. La vulnerabilidad de eliminación arbitraria de archivos se ha corregido en versiones posteriores a la 9.9. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-37231 是 Salon Booking System 中发现的路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用 Salon Booking System 的 9.9 或更早版本,则可能受到此漏洞的影响。
建议升级至 Salon Booking System 9.9.1 版本以修复此漏洞。
虽然目前尚未确认大规模利用,但由于漏洞易于利用,建议尽快采取缓解措施。
请访问 Salon Booking System 官方网站或查阅相关安全公告以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。