平台
wordpress
组件
wpspx
修复版本
1.0.3
CVE-2024-44034 描述了 WPSPX WordPress 插件中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求,包含位于受限目录之外的文件,从而可能导致敏感信息泄露或代码执行。此漏洞影响 WPSPX 的版本小于或等于 1.0.2。已发布 1.0.3 版本修复此问题,建议用户尽快更新。
攻击者可以利用此路径遍历漏洞读取服务器上的任意文件,包括配置文件、源代码和其他敏感数据。如果攻击者能够包含并执行恶意 PHP 代码,则可能完全控制受影响的 WordPress 站点。这可能导致数据泄露、网站篡改、恶意软件传播以及其他严重的安全事件。由于 WPSPX 插件通常用于处理敏感数据,例如用户凭据或支付信息,因此该漏洞的潜在影响非常大。类似于其他文件包含漏洞,攻击者可能利用此漏洞获取服务器的 shell 访问权限。
CVE-2024-44034 已于 2024 年 10 月 5 日公开披露。目前尚无公开的利用程序,但由于该漏洞的严重性和易于利用性,预计未来可能会出现。该漏洞被评定为高危,可能被恶意行为者积极利用。建议密切关注安全社区的动态,并及时采取缓解措施。
Websites using the WPSPX plugin, particularly those running older versions (≤1.0.2), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and plugin updates. WordPress installations with default or weak security configurations are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wpspx/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wpspx/index.php?file=../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive• wordpress / composer / npm:
wp plugin auto-update --alldisclosure
漏洞利用状态
EPSS
0.30% (53% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 WPSPX 插件更新到 1.0.3 或更高版本。如果无法立即更新,可以考虑以下临时缓解措施:限制 WPSPX 插件的访问权限,例如将其放置在更安全的目录中;使用 Web 应用防火墙 (WAF) 阻止包含恶意文件路径的请求;审查 WPSPX 插件的配置,确保没有不必要的权限或功能启用。在更新后,请验证插件是否正常工作,并检查服务器日志中是否有任何异常活动。
Actualice el plugin WPSPX a una versión posterior a la 1.0.2. Esto solucionará la vulnerabilidad de inclusión de archivos locales. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-44034 是 WPSPX WordPress 插件中的一个路径遍历漏洞,允许攻击者包含受限目录之外的文件,可能导致敏感信息泄露或代码执行。
如果您正在使用 WPSPX 插件的版本小于或等于 1.0.2,则您可能受到此漏洞的影响。请立即更新到 1.0.3 或更高版本。
最简单的修复方法是更新 WPSPX 插件到 1.0.3 或更高版本。如果无法立即更新,请考虑使用 WAF 或限制插件的访问权限。
目前尚无公开的利用程序,但由于该漏洞的严重性和易于利用性,预计未来可能会出现。
请访问 WPSPX 插件的官方网站或 WordPress 插件目录,查找有关此漏洞的公告和更新说明。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。