WordPress Advanced Classifieds & Directory Pro 插件 <= 3.1.3 - 路径遍历 (Local File Inclusion) 漏洞

攻击者可以利用此路径遍历漏洞，通过构造恶意请求访问服务器文件系统中的任意文件。这可能包括读取配置文件、源代码、数据库备份或其他包含敏感信息的文档。成功利用此漏洞可能导致数据泄露、身份盗窃，甚至可能允许攻击者在服务器上执行恶意代码。由于该漏洞允许攻击者访问服务器文件系统，因此其潜在影响范围可能非常广泛，可能影响整个服务器及其上的所有应用程序和服务。

Websites utilizing PluginsWare Advanced Classifieds & Directory Pro, particularly those running older versions (≤3.1.3) and those with shared hosting environments where file permissions may be less restrictive, are at increased risk. Sites with sensitive data stored on the server are especially vulnerable.

• wordpress / plugin:

wp plugin list | grep Advanced Classifieds

• wordpress / plugin: Check for unusual files in the plugin's directory or accessible via web requests. • generic web: Monitor web server access logs for requests containing ../ or other path traversal sequences. • generic web: Use a WAF to block requests containing suspicious path traversal patterns.

1. 2024-07-09Disclosure

   disclosure

1. 已保留2024-06-09
2. 发布日期2024-07-09
3. 修改日期2024-08-02
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 PluginsWare Advanced Classifieds & Directory Pro 更新到 3.1.4 或更高版本。如果无法立即更新，可以考虑实施一些临时缓解措施，例如限制文件上传目录的访问权限，并使用 Web 应用防火墙 (WAF) 过滤掉可疑的请求。此外，定期审查服务器上的文件权限，确保只有授权用户才能访问敏感文件。升级后，请验证漏洞是否已成功修复，例如尝试访问受影响的文件，确认访问被拒绝。

活跃安装数

2K已知

插件评分

4.7

需要WordPress版本

6.3+

兼容至

7.0

需要PHP版本

5.6.20+