平台
wordpress
组件
bitformpro
修复版本
2.6.5
CVE-2024-43248 描述了一个在 Bit Apps Bit Form Pro 中发现的路径遍历漏洞,允许攻击者进行文件操作。此漏洞的潜在影响包括敏感数据泄露和恶意文件写入。该漏洞影响 Bit Form Pro 的 n/a 版本到 2.6.4 版本。已发布安全补丁,建议用户立即升级到 2.6.5 版本。
攻击者可以利用此路径遍历漏洞访问 Bit Form Pro 应用程序的服务器文件系统中的任意文件。通过构造恶意的 URL 请求,攻击者可以读取、下载或修改服务器上的文件,从而可能导致敏感信息泄露、代码执行或系统破坏。例如,攻击者可能读取包含数据库凭据的配置文件,或者上传并执行恶意脚本。此漏洞的潜在影响范围取决于服务器上存储的数据类型和敏感程度,以及攻击者对服务器的访问权限。
目前尚未公开发现针对此漏洞的利用代码,但由于其高危评级和路径遍历漏洞的常见性,存在被利用的风险。该漏洞已于 2024 年 8 月 19 日公开披露。建议密切关注安全社区的动态,并及时采取缓解措施。
WordPress websites utilizing Bit Form Pro, particularly those with older versions (≤2.6.4) and those that haven't implemented robust file upload security measures, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/bit-form-pro/*• generic web:
curl -I 'http://your-website.com/wp-content/plugins/bit-form-pro/path/../sensitive_file.txt' # Check for 200 OK responsedisclosure
漏洞利用状态
EPSS
0.25% (48% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Bit Form Pro 升级到 2.6.5 版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:限制 Bit Form Pro 应用程序的访问权限,只允许其访问必要的文件和目录;配置 Web 应用程序防火墙 (WAF) 以阻止包含路径遍历攻击模式的请求;审查 Bit Form Pro 的配置文件,确保没有存储敏感信息。升级后,请验证漏洞是否已成功修复,例如通过尝试访问受保护的文件。
Actualice el plugin Bit Form Pro a la última versión disponible. La vulnerabilidad permite la eliminación arbitraria de archivos, por lo que es crucial actualizar para proteger su sitio web. Verifique que la versión actualizada sea posterior a la 2.6.4.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-43248 是 Bit Apps Bit Form Pro 插件中发现的一个路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用 Bit Form Pro 的版本小于或等于 2.6.4,则可能受到此漏洞的影响。
立即将 Bit Form Pro 升级到 2.6.5 版本以修复此漏洞。
目前尚未公开发现针对此漏洞的利用代码,但存在被利用的风险。
请访问 Bit Apps 官方网站或 Bit Form Pro 插件页面,查找有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。