平台
wordpress
组件
instant-chat-wp
修复版本
1.0.6
CVE-2024-44018 描述了 Istmo Plugins Instant Chat Floating Button for WordPress Websites 中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求,访问服务器上的任意文件,可能导致敏感信息泄露或代码执行。该漏洞影响所有版本小于或等于 1.0.5 的用户。已发布安全补丁版本 1.0.6,建议立即升级。
该路径遍历漏洞允许攻击者利用不当的路径限制,访问服务器上的任意文件。攻击者可以利用此漏洞读取服务器上的配置文件、源代码或其他敏感数据。更严重的情况下,攻击者可能能够执行任意代码,完全控制受影响的 WordPress 网站。由于 WordPress 网站通常包含用户数据、数据库连接信息和其他关键配置,因此该漏洞的潜在影响非常大。攻击者可能利用此漏洞窃取用户数据、篡改网站内容或发起进一步的网络攻击。
该漏洞已公开披露,存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。公开的 PoC 可能会出现。
WordPress websites utilizing the Instant Chat Floating Button plugin, particularly those running older versions (≤1.0.5), are at risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher density of potential targets.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/instant-chat-floating-button/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/instant-chat-floating-button/?file=../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.30% (53% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Istmo Instant Chat Floating Button for WordPress Websites 升级至 1.0.6 或更高版本。如果升级会导致网站中断,可以考虑回滚到之前的稳定版本,并同时实施其他安全措施。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止包含恶意路径字符的请求。建议审查 WordPress 网站的配置,确保文件权限设置正确,并禁用不必要的目录列表功能。
Actualice el plugin Instant Chat WP a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte la página del plugin en WordPress.org para obtener más información y actualizaciones.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-44018 是一个路径遍历漏洞,影响 Istmo Instant Chat Floating Button for WordPress Websites 插件,允许攻击者访问服务器上的任意文件。
如果您正在使用 Istmo Instant Chat Floating Button for WordPress Websites 插件,并且版本小于或等于 1.0.5,则您可能受到此漏洞的影响。
立即将 Istmo Instant Chat Floating Button for WordPress Websites 升级至 1.0.6 或更高版本。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 Istmo 官方网站或 WordPress 插件目录,查找关于 CVE-2024-44018 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。