平台
wordpress
组件
jet-theme-core
修复版本
2.2.1
CVE-2024-37497 描述了 Crocoblock JetThemeCore 中的路径遍历漏洞。此漏洞允许攻击者绕过限制,访问或修改系统中的文件,可能导致敏感信息泄露或恶意代码执行。该漏洞影响 JetThemeCore 版本小于或等于 2.2.1 的安装。建议用户尽快升级至 2.2.1 版本以消除风险。
攻击者可以利用此路径遍历漏洞访问服务器上的任意文件,包括配置文件、源代码或其他敏感数据。如果攻击者能够上传恶意文件,他们可能能够执行远程代码,完全控制受影响的 WordPress 站点。这种攻击可能导致数据泄露、网站篡改、甚至整个服务器的控制权被夺取。由于 JetThemeCore 广泛应用于 WordPress 主题和页面构建器,因此潜在的攻击面非常广阔。
目前尚未公开发现针对此漏洞的利用代码,但由于其易于利用的特性,存在被利用的风险。该漏洞已于 2024 年 7 月 9 日公开披露。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Websites using JetThemeCore versions prior to 2.2.1 are at risk. This includes sites using shared hosting environments where file permissions may be less restrictive, and those relying on older WordPress installations that haven't been regularly updated. Sites with sensitive data stored within the WordPress file system are particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/jet-themecore/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/jet-themecore/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.16% (37% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 JetThemeCore 升级至 2.2.1 或更高版本。如果升级会导致网站出现问题,可以考虑回滚到之前的稳定版本,并同时实施其他安全措施。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止对敏感文件的直接访问。 建议审查 JetThemeCore 的配置,确保文件权限设置正确,并限制对敏感目录的访问。
Actualice el plugin JetThemeCore a la versión 2.2.1 o superior. Esta actualización corrige la vulnerabilidad de eliminación arbitraria de archivos. Puede actualizar a través del panel de administración de WordPress o descargando la última versión desde el sitio web del desarrollador.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-37497 描述了 Crocoblock JetThemeCore 中存在的路径遍历漏洞,允许攻击者访问或修改服务器上的任意文件。
如果您正在使用 JetThemeCore 版本小于或等于 2.2.1,则可能受到此漏洞的影响。
立即将 JetThemeCore 升级至 2.2.1 或更高版本。
目前尚未公开发现利用代码,但存在被利用的风险。
请访问 Crocoblock 官方网站或 GitHub 仓库,查找有关此漏洞的公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。