平台
wordpress
组件
listingpro-plugin
修复版本
2.9.4
CVE-2024-39621 描述了ListingPro WordPress插件中的路径遍历漏洞,允许攻击者进行PHP本地文件包含。该漏洞可能导致未经授权的访问敏感文件和执行恶意代码。此漏洞影响ListingPro版本小于或等于2.9.3。建议用户立即升级到2.9.4版本以修复此安全问题。
攻击者可以利用此路径遍历漏洞,通过构造恶意的URL请求,访问服务器上的任意文件。这可能导致敏感信息泄露,例如配置文件、数据库凭证或其他敏感数据。更严重的情况下,攻击者可以利用本地文件包含功能,执行任意PHP代码,从而完全控制受影响的WordPress站点。此漏洞的潜在影响范围广泛,可能导致数据泄露、网站篡改甚至服务器被攻陷。由于WordPress插件的广泛使用,该漏洞可能影响大量网站。
该漏洞已公开披露,且存在利用的可能性。目前尚未观察到大规模的利用活动,但由于WordPress插件的广泛使用,该漏洞可能成为攻击者的目标。建议密切关注安全社区的动态,及时获取最新的威胁情报。CISA尚未将其添加到KEV目录,但应密切关注。
WordPress sites utilizing the ListingPro plugin, particularly those running versions prior to 2.9.4, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher concentration of vulnerable plugins. Sites with sensitive data or those used for e-commerce are also at higher risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/listingpro/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/listingpro/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
1.16% (79% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将ListingPro WordPress插件升级到2.9.4版本或更高版本。如果升级会导致兼容性问题,可以考虑临时回滚到之前的稳定版本,并尽快测试新版本。此外,可以配置Web应用防火墙(WAF)或反向代理服务器,以阻止包含恶意路径的请求。还可以审查ListingPro插件的配置文件,确保文件权限设置正确,限制对敏感文件的访问。通过定期扫描WordPress插件,及时发现和修复潜在的安全漏洞,可以有效降低风险。
Actualice el plugin ListingPro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 2.9.3. Consulte la documentación del plugin para obtener instrucciones sobre cómo actualizar.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-39621描述了ListingPro WordPress插件中的路径遍历漏洞,攻击者可以通过构造恶意URL访问服务器上的任意文件。
如果您正在使用ListingPro插件的版本小于或等于2.9.3,则可能受到此漏洞的影响。请立即升级到2.9.4或更高版本。
最简单的修复方法是立即将ListingPro插件升级到2.9.4或更高版本。
虽然目前尚未观察到大规模的利用活动,但由于WordPress插件的广泛使用,该漏洞可能成为攻击者的目标。
请访问ListingPro插件的官方网站或GitHub仓库,查找关于CVE-2024-39621的公告和安全更新。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。