平台
wordpress
组件
wp-fastest-cache
修复版本
1.2.7
CVE-2024-4347是一个高危漏洞,影响到WordPress插件WP Fastest Cache。该漏洞允许经过身份验证的攻击者利用特定DeleteCache函数,在服务器上删除任意文件,包括关键的wp-config.php文件。受影响的版本包括1.2.6及更早版本。已发布补丁,建议尽快更新。
该漏洞的潜在影响非常严重。攻击者可以利用它来删除服务器上的任意文件,这可能导致网站完全瘫痪。更糟糕的是,攻击者可以删除wp-config.php文件,其中包含数据库连接信息和其他敏感配置。如果wp-config.php文件被泄露或删除,攻击者可以完全控制网站,窃取数据、篡改内容,甚至在网站上植入恶意代码。在共享主机环境中,该漏洞的影响范围可能更大,因为攻击者可能可以访问同一服务器上其他网站的文件。这类似于过去发现的某些WordPress插件漏洞,攻击者利用其权限访问其他站点数据。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用案例。该漏洞尚未被添加到CISA KEV目录中。建议密切关注安全社区的动态,并及时采取措施。
WordPress websites using the WP Fastest Cache plugin, particularly those hosted on shared hosting environments, are at risk. Sites with weak user authentication or those that haven't implemented proper access controls are especially vulnerable. Legacy WordPress installations with outdated plugins are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep "WP Fastest Cache"• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r "specificDeleteCache" /var/www/html/wp-content/plugins/wp-fastest-cache/• generic web: Check WordPress plugin directory for updates and security advisories related to WP Fastest Cache.
disclosure
漏洞利用状态
EPSS
5.50% (90% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将WP Fastest Cache插件升级到最新版本。如果升级会导致网站出现问题,可以考虑回滚到之前的稳定版本,并尝试使用Web应用防火墙(WAF)或反向代理来阻止对特定DeleteCache函数的恶意请求。此外,可以配置WordPress服务器的权限,限制插件对敏感文件的访问。监控服务器日志,查找可疑的文件删除活动,并使用Sigma或YARA规则来检测恶意行为。
Actualice el plugin WP Fastest Cache a la última versión disponible. La vulnerabilidad que permite el borrado arbitrario de archivos se ha corregido en versiones posteriores a la 1.2.6.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-4347是WordPress插件WP Fastest Cache中发现的一个高危漏洞,允许经过身份验证的攻击者删除服务器上的任意文件。
如果您正在使用WP Fastest Cache插件的版本小于或等于1.2.6,那么您可能受到此漏洞的影响。
建议立即将WP Fastest Cache插件升级到最新版本。如果升级导致问题,请考虑回滚并使用WAF进行缓解。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用案例。
请访问WP Fastest Cache官方网站或GitHub仓库,查找有关CVE-2024-4347的公告和补丁信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。