平台
wordpress
组件
timeline-and-history-slider
修复版本
2.3.1
CVE-2024-43232 描述了 WP OnlineSupport Essential Plugin Timeline 和 History 滑块组件中的路径遍历漏洞。此漏洞允许攻击者通过构造恶意请求,包含并执行位于服务器上的任意 PHP 文件,从而可能导致敏感信息泄露或代码执行。该漏洞影响 Timeline 和 History 滑块组件的版本低于或等于 2.3。已于 2.3.1 版本修复。
攻击者可以利用此路径遍历漏洞,通过包含并执行任意 PHP 文件,获取服务器上的敏感信息,例如数据库凭据、配置文件内容等。更严重的情况下,攻击者可以执行恶意代码,完全控制受影响的 WordPress 站点。由于该漏洞允许本地文件包含,攻击者可能能够利用其访问服务器上的其他应用程序或服务,从而实现横向移动。该漏洞的潜在影响范围取决于服务器的配置和安全措施,可能导致数据泄露、服务中断甚至系统被攻陷。
目前,该漏洞的公开利用代码 (POC) 尚未广泛传播,但由于其严重性和易于利用性,预计未来可能会出现更多利用尝试。该漏洞已于 2024 年 8 月 19 日公开披露。CISA 尚未将其添加到 KEV 目录,但由于其高 CVSS 评分和潜在影响,应密切关注其动态。
WordPress websites utilizing the WP OnlineSupport Timeline and History slider plugin, particularly those running versions prior to 2.3.1, are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/timeline-and-history-slider/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/timeline-and-history-slider/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.77% (73% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2024-43232 的影响,首要措施是立即升级到 Timeline 和 History 滑块组件的 2.3.1 版本或更高版本。如果无法立即升级,可以尝试限制 WordPress 站点对外部文件的访问权限,并禁用不必要的 PHP 函数。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以检测和阻止包含恶意路径的请求。建议定期审查 WordPress 站点的安全配置,并确保所有插件和主题都保持最新状态。
Actualiza el plugin Timeline and History slider a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-43232 是 WP OnlineSupport Essential Plugin Timeline 和 History 滑块组件中的一个路径遍历漏洞,允许攻击者包含并执行服务器上的任意 PHP 文件。
如果您使用的 Timeline 和 History 滑块组件版本低于或等于 2.3,则可能受到此漏洞的影响。
立即升级到 Timeline 和 History 滑块组件的 2.3.1 版本或更高版本。
虽然目前没有广泛的公开利用代码,但由于其严重性,预计未来可能会出现更多利用尝试。
请访问 WP OnlineSupport 官方网站或 GitHub 仓库,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。