平台
wordpress
组件
wpoptin
修复版本
2.0.2
CVE-2024-47645 描述了一个路径遍历漏洞,存在于 WPOptin 的 Top Bar – PopUps 插件中。该漏洞允许攻击者利用不正确的路径限制,进行 PHP 本地文件包含攻击,从而可能泄露敏感信息或执行恶意代码。该漏洞影响 Top Bar – PopUps – by WPOptin 的 2.0.1 及更早版本。建议立即升级至 2.0.2 版本以修复此问题。
攻击者可以利用此路径遍历漏洞,通过构造恶意的文件路径,访问服务器上的任意文件。这可能导致攻击者获取服务器配置信息、数据库凭证、源代码或其他敏感数据。更严重的后果是,攻击者可能利用本地文件包含漏洞,执行任意 PHP 代码,从而完全控制受影响的 WordPress 站点。这种攻击模式类似于其他本地文件包含漏洞,可能导致数据泄露、网站篡改甚至服务器被入侵。
目前尚无公开的漏洞利用程序 (PoC),但该漏洞的严重性较高,且漏洞类型常见,因此存在被利用的风险。该漏洞已在 2024 年 10 月 16 日公开披露。建议密切关注安全社区的动态,及时采取缓解措施。
WordPress websites using the Top Bar – PopUps plugin, particularly those running versions 2.0.1 or earlier, are at risk. Shared hosting environments where file permissions are not tightly controlled are especially vulnerable, as an attacker could potentially exploit this flaw to gain access to other websites hosted on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/top-bar-popups-by-wpoptin/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/top-bar-popups-by-wpoptin/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.40% (61% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Top Bar – PopUps – by WPOptin 插件升级至 2.0.2 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 WordPress 插件目录的访问权限,确保只有授权用户才能上传和修改插件文件。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止包含恶意路径的文件请求。监控 WordPress 站点日志,查找可疑的文件访问尝试。
Actualice el plugin WPOptin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-47645 是一个路径遍历漏洞,影响 Top Bar – PopUps – by WPOptin 插件的 2.0.1 及更早版本。攻击者可以利用此漏洞访问服务器上的任意文件。
如果您正在使用 Top Bar – PopUps – by WPOptin 插件的 2.0.1 或更早版本,则您可能受到此漏洞的影响。
升级 Top Bar – PopUps – by WPOptin 插件至 2.0.2 或更高版本以修复此漏洞。
目前尚无公开的漏洞利用程序,但由于漏洞的严重性,存在被利用的风险。
请访问 WPOptin 官方网站或 WordPress 插件目录,查找关于 CVE-2024-47645 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。