平台
wordpress
组件
pdf-rechnungsverwaltung
修复版本
0.0.2
CVE-2024-49287 描述了PDF-Rechnungsverwaltung中一个路径遍历漏洞,允许攻击者通过PHP本地文件包含(LFI)访问服务器上的文件。该漏洞影响PDF-Rechnungsverwaltung的版本小于或等于0.0.1。 升级到0.0.2版本可以解决此问题,降低安全风险。
该路径遍历漏洞允许攻击者利用不正确的路径限制,读取服务器文件系统中的任意文件。攻击者可以利用此漏洞访问敏感数据,例如配置文件、源代码或其他用户数据。如果攻击者能够访问数据库凭据或其他敏感信息,他们可能能够获得对系统的完全控制权,并进行进一步的攻击,例如数据泄露或恶意软件部署。该漏洞的潜在影响包括数据泄露、系统破坏和声誉损害。
该漏洞已公开披露,并已添加到NVD数据库中。目前尚未观察到大规模的利用活动,但由于该漏洞的严重性和易于利用性,预计可能会被积极利用。建议尽快采取缓解措施以降低风险。
WordPress websites utilizing the PDF-Rechnungsverwaltung plugin, particularly those running versions prior to 0.0.2, are at risk. Shared hosting environments where users have limited control over plugin configurations are especially vulnerable, as are systems with weak file access permissions.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/pdf-rechnungsverwaltung/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/pdf-rechnungsverwaltung/../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
漏洞利用状态
EPSS
0.33% (56% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将PDF-Rechnungsverwaltung升级到0.0.2版本。如果无法立即升级,可以考虑以下临时缓解措施:限制PHP脚本的执行权限,以防止其访问敏感文件;使用Web应用程序防火墙(WAF)来过滤恶意请求;审查PDF-Rechnungsverwaltung的配置,确保其只允许访问必要的文件和目录。升级后,请验证漏洞是否已成功修复,例如通过尝试访问受保护的文件来确认。
Actualice el plugin PDF-Rechnungsverwaltung a una versión posterior a la 0.0.1. Si no hay una versión disponible, considere desinstalar el plugin hasta que se publique una versión corregida. Consulte la página del plugin en WordPress.org para obtener actualizaciones.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-49287描述了PDF-Rechnungsverwaltung (≤0.0.1)中的路径遍历漏洞,允许攻击者通过PHP本地文件包含访问服务器上的文件。
如果您正在使用PDF-Rechnungsverwaltung的版本小于或等于0.0.1,则您可能受到此漏洞的影响。
升级到PDF-Rechnungsverwaltung的0.0.2版本以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于该漏洞的严重性和易于利用性,预计可能会被积极利用。
请查阅PDF-Rechnungsverwaltung官方网站或WordPress插件目录以获取相关公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。