平台
wordpress
组件
embedpress
修复版本
4.0.10
CVE-2024-43328 是 EmbedPress WordPress 插件中的路径遍历漏洞,允许攻击者利用不当的路径限制,进行 PHP 本地文件包含。该漏洞可能导致攻击者读取服务器上的任意文件,甚至执行恶意代码。该漏洞影响 EmbedPress 插件版本小于等于 4.0.9,建议用户尽快升级至 4.0.10 版本以修复此问题。
该路径遍历漏洞允许攻击者通过构造恶意的文件路径,访问服务器上的敏感文件,例如配置文件、数据库凭证或其他包含敏感信息的文档。攻击者还可以利用本地文件包含功能,执行任意 PHP 代码,从而完全控制受影响的 WordPress 站点。如果攻击者成功利用此漏洞,可能导致数据泄露、网站篡改、恶意软件植入,甚至服务器被完全控制。由于 WordPress 插件的广泛使用,该漏洞可能影响大量网站,造成广泛的安全风险。
该漏洞已公开披露,存在公开的利用代码。目前尚无关于该漏洞被大规模利用的公开报告,但由于其易于利用,存在被攻击者的利用的可能性。建议密切关注安全社区的动态,及时采取必要的安全措施。
Websites utilizing the EmbedPress plugin, particularly those running older versions (≤4.0.9), are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable, as are sites with misconfigured PHP environments that allow for arbitrary file inclusion.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/embedpress/• wordpress / composer / npm:
wp plugin list --status=active | grep embedpress• wordpress / composer / npm:
wp plugin update embedpress --alldisclosure
漏洞利用状态
EPSS
1.18% (79% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 EmbedPress WordPress 插件升级至 4.0.10 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 WordPress 插件的上传目录权限,确保只有授权用户才能上传插件。实施严格的文件访问控制,限制对敏感文件的访问。使用 Web 应用防火墙 (WAF) 过滤恶意请求,阻止路径遍历攻击。定期审查 WordPress 插件的安全性,及时更新或删除不安全的插件。
Actualiza el plugin EmbedPress a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 4.0.9. Para actualizar, ve al panel de administración de WordPress, luego a la sección de 'Plugins' y busca 'EmbedPress'. Haz clic en 'Actualizar' si hay una versión más reciente disponible.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-43328 是 EmbedPress WordPress 插件中的一个路径遍历漏洞,允许攻击者通过构造恶意的文件路径,访问服务器上的敏感文件。
如果您使用的 EmbedPress WordPress 插件版本小于等于 4.0.9,则可能受到此漏洞的影响。请立即检查您的插件版本。
请将 EmbedPress WordPress 插件升级至 4.0.10 或更高版本。
目前尚无关于该漏洞被大规模利用的公开报告,但由于其易于利用,存在被攻击者的利用的可能性。
请访问 EmbedPress 官方网站或 WordPress 插件目录,查找有关 CVE-2024-43328 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。