平台
wordpress
组件
maxslider
修复版本
1.2.4
CVE-2024-47351 描述了 MaxSlider WordPress 插件中的路径遍历漏洞。该漏洞允许未经授权的用户通过操纵文件路径来访问服务器上的敏感文件。此漏洞影响 MaxSlider 版本小于等于 1.2.3。已发布修复版本 1.2.4,建议立即更新。
攻击者可以利用此路径遍历漏洞访问服务器文件系统中的任意文件,包括配置文件、源代码和敏感数据。成功利用此漏洞可能导致信息泄露、代码执行甚至服务器控制。攻击者可以通过构造恶意的URL请求来触发此漏洞,例如通过包含“../”序列来遍历目录结构。由于MaxSlider插件广泛使用,该漏洞的潜在影响范围非常大,可能影响大量WordPress网站的安全。
目前尚未公开发现针对此漏洞的利用代码,但由于路径遍历漏洞的普遍性,存在被利用的风险。该漏洞已于 2024 年 10 月 16 日公开披露。建议密切关注安全社区的动态,并及时采取缓解措施。
WordPress websites utilizing the MaxSlider plugin, particularly those running older versions (≤1.2.3), are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may be less able to implement workarounds or monitor for suspicious activity. Sites with sensitive data stored on the same server are also at heightened risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/maxslider/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/maxslider/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep maxslider• wordpress / composer / npm:
wp plugin update maxsliderdisclosure
漏洞利用状态
EPSS
0.29% (53% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 MaxSlider 插件更新到 1.2.4 或更高版本。如果无法立即更新,可以考虑使用 Web 应用防火墙 (WAF) 来过滤包含路径遍历尝试的请求。此外,限制 WordPress 插件的上传目录权限,并定期审查插件的安全性,可以降低风险。在更新后,请验证插件是否正常工作,并检查服务器日志中是否存在异常活动。
Actualiza el plugin MaxSlider a la última versión disponible. Si no hay una versión más reciente, considera deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Verifica que el plugin esté actualizado regularmente para evitar futuras vulnerabilidades.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-47351 描述了 MaxSlider WordPress 插件中存在的路径遍历漏洞,允许攻击者访问服务器上的敏感文件。
如果您正在使用 MaxSlider 插件的版本小于等于 1.2.3,则您可能受到此漏洞的影响。
将 MaxSlider 插件更新到 1.2.4 或更高版本以修复此漏洞。
目前尚未公开发现针对此漏洞的利用代码,但存在被利用的风险。
请访问 MaxSlider 插件的官方网站或 WordPress 插件目录以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。