平台
wordpress
组件
ssv-mailchimp
修复版本
3.1.6
CVE-2024-49285 是一个路径遍历漏洞,存在于 SSV MailChimp 插件中。该漏洞允许攻击者通过构造恶意请求,包含位于受限目录之外的文件,从而可能导致敏感信息泄露或代码执行。该漏洞影响 SSV MailChimp 的版本小于或等于 3.1.5。已发布 3.1.6 版本修复此问题。
攻击者可以利用此路径遍历漏洞,通过 PHP 本地文件包含 (LFI) 访问服务器上的任意文件。这可能包括配置文件、数据库凭证或其他敏感数据。攻击者还可以利用此漏洞执行恶意代码,完全控制受影响的 WordPress 站点。由于该漏洞允许本地文件包含,因此攻击者可能能够读取服务器上的任何文件,这可能导致严重的敏感信息泄露。如果攻击者能够执行代码,他们可以安装后门、窃取数据或破坏站点。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 尚未发现,但漏洞的性质表明攻击者可能已经开发了利用代码。
WordPress websites utilizing the SSV MailChimp plugin, particularly those running versions 3.1.5 or earlier, are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over server file permissions. Websites with misconfigured file permissions or inadequate input validation are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ssv-mailchimp/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/ssv-mailchimp/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep ssv-mailchimp• wordpress / composer / npm:
wp plugin update ssv-mailchimpdisclosure
漏洞利用状态
EPSS
0.40% (61% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 SSV MailChimp 插件升级到 3.1.6 或更高版本。如果无法立即升级,可以尝试限制 WordPress 插件目录的访问权限,以防止攻击者上传恶意文件。此外,可以配置 Web 应用防火墙 (WAF) 以阻止包含可疑文件路径的请求。监控 WordPress 站点的日志文件,查找任何异常活动,例如尝试访问敏感文件的请求。
Actualiza el plugin SSV MailChimp a la última versión disponible. Si no hay una versión disponible que corrija la vulnerabilidad, considera deshabilitar el plugin hasta que se publique una actualización. Mantén tus plugins actualizados para evitar vulnerabilidades de seguridad.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-49285 是一个路径遍历漏洞,允许攻击者通过构造恶意请求,包含位于受限目录之外的文件,存在于 SSV MailChimp 插件中。
如果您正在使用 SSV MailChimp 插件的版本小于或等于 3.1.5,则您可能会受到影响。请立即升级到 3.1.6 或更高版本。
最有效的修复方法是立即将 SSV MailChimp 插件升级到 3.1.6 或更高版本。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 SSV MailChimp 的官方网站或 GitHub 仓库,查找有关此漏洞的公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。