平台
wordpress
组件
users-control
修复版本
1.0.17
CVE-2024-44015 描述了 Users Control 中的路径遍历漏洞,允许攻击者进行本地文件包含 (LFI)。该漏洞影响 Users Control 版本小于等于 1.0.16 的用户,可能导致未经授权的敏感文件访问。通过升级到 1.0.17 版本可以有效解决此问题。
此路径遍历漏洞允许攻击者通过构造恶意请求,访问服务器上的任意文件。攻击者可以利用此漏洞读取服务器上的配置文件、源代码或其他敏感数据。如果服务器上存在包含数据库凭据或其他敏感信息的配置文件,攻击者可能会获得对整个系统的控制权。由于该漏洞允许本地文件包含,攻击者可能能够执行任意代码,进一步扩大攻击范围。此漏洞的潜在影响包括数据泄露、系统入侵和拒绝服务。
CVE-2024-44015 已于 2024 年 10 月 5 日公开披露。目前尚无公开的利用程序 (PoC),但由于该漏洞的严重性和易于利用性,预计未来可能会出现。该漏洞尚未被添加到 CISA KEV 目录,但应密切关注其动态。
WordPress websites using the Users Control plugin, particularly those running versions prior to 1.0.17, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server file permissions and configurations, making exploitation easier.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/users-control/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/users-control/../../../../etc/passwd | head -n 1disclosure
漏洞利用状态
EPSS
0.30% (53% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Users Control 升级到 1.0.17 或更高版本。如果无法立即升级,可以考虑实施以下临时缓解措施:限制 Users Control 插件的访问权限,确保其只能访问必要的文件和目录。配置 Web 服务器以阻止对敏感文件的直接访问。实施 Web 应用防火墙 (WAF) 规则,以检测和阻止包含恶意路径的请求。定期审查 Users Control 的配置,以确保其安全性。
Actualiza el plugin Users Control a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.0.16. Verifica que la versión actualizada esté instalada correctamente en tu sitio de WordPress.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-44015 是 Users Control 插件中的路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用 Users Control 插件的版本小于等于 1.0.16,则可能受到此漏洞的影响。
建议立即将 Users Control 升级到 1.0.17 或更高版本。
目前尚无公开的利用程序,但由于漏洞的严重性,预计未来可能会出现。
请访问 Users Control 官方网站或 WordPress 插件目录,查找有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。