CVE-2024-37268 是 Striking WordPress 插件中的路径遍历漏洞。该漏洞允许未经授权的用户访问服务器上的文件,可能导致敏感信息泄露。此漏洞影响 Striking 插件版本小于等于 2.3.4。已发布补丁版本 2.3.5,建议立即升级。
攻击者可以利用此路径遍历漏洞,通过构造恶意请求访问服务器文件系统中的任意文件。这可能包括读取配置文件、数据库凭证、源代码或其他敏感数据。如果服务器上存储了用户数据,攻击者可能能够访问这些数据,造成隐私泄露。更严重的后果是,攻击者可能利用此漏洞执行任意代码,完全控制服务器。
目前尚未公开已知利用此漏洞的公开 POC。CISA 尚未将其添加到 KEV 目录。由于漏洞的严重性和易利用性,建议密切关注其利用情况。NVD 于 2024-07-09 公布此漏洞。
WordPress websites utilizing the Striking plugin, particularly those running older versions (≤2.3.4), are at risk. Shared hosting environments where file system permissions are less tightly controlled are especially vulnerable. Sites with weak security configurations or inadequate input validation practices are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/striking/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/striking/../../../../etc/passwd' # Check for sensitive file accessdisclosure
漏洞利用状态
EPSS
1.08% (78% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Striking WordPress 插件升级至 2.3.5 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来阻止恶意请求。配置 WAF 以过滤包含 ../ 等路径遍历尝试的请求。此外,限制 Striking 插件的权限,使其只能访问必要的文件和目录,可以降低潜在影响。升级后,请检查 Striking 插件的配置,确保没有其他安全漏洞。
Actualice el tema Striking a una versión posterior a la 2.3.4. Si no hay una versión disponible, considere deshabilitar o reemplazar el tema con una alternativa segura. Consulte la documentación del tema o al proveedor para obtener instrucciones específicas de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-37268 是 Striking WordPress 插件中发现的路径遍历漏洞,允许攻击者访问服务器上的敏感文件。
如果您正在使用 Striking WordPress 插件版本小于等于 2.3.4,则您可能受到此漏洞的影响。
将 Striking WordPress 插件升级至 2.3.5 或更高版本以修复此漏洞。
目前尚未公开已知利用此漏洞的公开 POC,但由于漏洞的严重性,建议密切关注其利用情况。
请访问 Striking 插件的官方网站或 WordPress 插件目录以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。