平台
wordpress
组件
vr-calendar-sync
修复版本
2.4.1
CVE-2024-44013 描述了 VR Calendar 插件中存在的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求,包含并执行位于服务器上的任意文件,造成本地文件包含 (LFI) 风险。该漏洞影响 VR Calendar 插件的版本小于或等于 2.4.0。已发布版本 2.4.1 修复了此问题。
攻击者利用此路径遍历漏洞可以读取服务器上的敏感文件,例如配置文件、数据库凭证或其他包含敏感信息的文档。攻击者可能通过构造包含特定文件路径的恶意请求,访问这些文件。如果服务器上存在包含Web Shell或其他恶意代码的文件,攻击者甚至可以利用此漏洞执行任意代码,从而完全控制受影响的服务器。该漏洞的潜在影响包括数据泄露、系统入侵和恶意软件传播。
目前,该漏洞的公开利用信息有限,但由于其易于利用,存在被恶意利用的风险。该漏洞已于 2024 年 10 月 5 日公开披露。建议密切关注安全社区的动态,及时了解最新的利用信息和缓解措施。该漏洞的 EPSS 评分可能为中等或较高,具体取决于部署环境和安全措施。
Websites utilizing the VR Calendar plugin, particularly those running older versions (≤2.4.0), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security. WordPress sites with weak file permission settings or inadequate input validation are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/vr-calendar/*• wordpress / composer / npm:
wp plugin list --status=active | grep vr-calendar• wordpress / composer / npm:
wp plugin update vr-calendar --alldisclosure
漏洞利用状态
EPSS
0.30% (53% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2024-44013 的风险,建议立即升级 VR Calendar 插件到版本 2.4.1 或更高版本。如果无法立即升级,可以考虑实施以下临时缓解措施:限制 VR Calendar 插件的访问权限,确保其只能访问必要的目录和文件;使用 Web 应用防火墙 (WAF) 过滤恶意请求,阻止包含可疑文件路径的请求;审查 VR Calendar 插件的配置文件,确保其中不包含敏感信息。升级后,请验证插件是否正常工作,并检查服务器日志是否存在异常活动。
Actualice el plugin VR Calendar a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-44013 是 VR Calendar 插件中发现的路径遍历漏洞,允许攻击者通过构造恶意请求,包含并执行服务器上的任意文件。
如果您正在使用 VR Calendar 插件,且版本低于 2.4.0,则您可能受到此漏洞的影响。
建议立即升级 VR Calendar 插件到版本 2.4.1 或更高版本。
目前,该漏洞的公开利用信息有限,但存在被恶意利用的风险。
请访问 Innate Images LLC 的官方网站或 VR Calendar 插件的官方文档,以获取有关此漏洞的更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。