WordPress Widgets for WooCommerce Products on Elementor 插件 <= 2.0.0 - 路径遍历 (Path Traversal) 漏洞

攻击者可以利用此路径遍历漏洞，通过构造包含恶意代码的 URL，访问服务器上的任意文件。这可能导致攻击者读取服务器上的配置文件、源代码或其他敏感数据。更严重的情况下，攻击者可能利用此漏洞执行任意代码，完全控制受影响的 WordPress 站点。由于该漏洞允许本地文件包含，攻击者可以利用它来绕过访问控制机制，从而进一步扩大攻击范围。类似于其他文件包含漏洞，攻击者可能尝试利用此漏洞来执行恶意脚本，例如webshell，从而实现持久性访问。

WordPress websites utilizing the Woo Products Widgets For Elementor plugin, particularly those running versions prior to 2.0.1, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/woo-products-widgets-for-elementor/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/woo-products-widgets-for-elementor/../../../../etc/passwd' # Attempt to access sensitive files

1. 2024-08-19Disclosure

   disclosure

1. 已保留2024-08-09
2. 发布日期2024-08-19
3. 修改日期2024-08-20
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 Woo Products Widgets For Elementor 升级至 2.0.1 版本或更高版本。如果无法立即升级，可以尝试限制 WordPress 站点对敏感文件的访问权限，并禁用不必要的 PHP 函数。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以阻止包含恶意路径的请求。建议定期审查 WordPress 站点的安全配置，并确保所有插件和主题都已更新到最新版本。

活跃安装数

3K小众

插件评分

5.0

需要WordPress版本

4.7+

兼容至

6.6.5

需要PHP版本

7.4+