平台
wordpress
组件
woocommerce-pdf-vouchers
修复版本
4.9.5
CVE-2024-39651 是 WooCommerce PDF Vouchers 插件中发现的路径遍历漏洞。该漏洞允许攻击者通过操纵文件路径,访问未经授权的文件。此问题影响所有版本低于 4.9.5 的 WooCommerce PDF Vouchers 用户。建议立即升级到 4.9.5 版本以消除风险。
攻击者可以利用此路径遍历漏洞访问服务器上的任意文件,只要他们能够构造一个有效的请求。这可能包括读取敏感配置文件、源代码、数据库备份或其他包含敏感信息的文件。如果攻击者能够访问数据库备份,他们可能能够恢复整个网站的数据。更严重的后果是,攻击者可能能够利用此漏洞执行远程代码,从而完全控制受影响的网站。此漏洞的潜在影响范围广泛,可能导致数据泄露、服务中断和声誉损害。
该漏洞已公开披露,并且存在利用此漏洞的可能性。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。建议密切关注安全社区的最新信息,以了解是否有新的利用技术出现。
Websites utilizing WooCommerce PDF Vouchers plugin versions prior to 4.9.5 are at risk. This includes e-commerce sites selling digital products and those relying on the plugin for voucher management. Shared hosting environments are particularly vulnerable due to the potential for cross-site contamination.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-pdf-vouchers/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woocommerce-pdf-vouchers/includes/some-file..\/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive woocommerce-pdf-vouchersdisclosure
漏洞利用状态
EPSS
0.31% (54% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 WooCommerce PDF Vouchers 升级到 4.9.5 或更高版本。如果升级会导致网站中断,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止包含恶意路径遍历尝试的请求。例如,可以设置规则来过滤包含 '../' 或其他路径遍历序列的请求。定期审查文件权限,确保只有授权用户才能访问敏感文件。
Actualice el plugin WooCommerce PDF Vouchers a la versión 4.9.5 o superior. Esta actualización corrige la vulnerabilidad de eliminación arbitraria de archivos. Para actualizar, vaya a la sección de plugins en su panel de administración de WordPress y busque la actualización disponible.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-39651 是 WooCommerce PDF Vouchers 插件中发现的路径遍历漏洞,允许攻击者访问未经授权的文件。
如果您使用的是 WooCommerce PDF Vouchers 的版本低于 4.9.5,则您可能受到此漏洞的影响。
立即将 WooCommerce PDF Vouchers 升级到 4.9.5 或更高版本以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 WooCommerce 官方网站或安全公告页面,查找有关 CVE-2024-39651 的详细信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。