平台
wordpress
组件
globe-gateway-e4
修复版本
2.0.1
CVE-2024-52371 描述了 DonnellC Global Gateway e4 | Payeezy Gateway 中的路径遍历漏洞,允许攻击者访问受限制目录之外的文件。此漏洞可能导致敏感信息泄露,影响 Global Gateway e4 | Payeezy Gateway 版本低于或等于 2.0 的用户。已发布补丁版本 2.0.1,建议尽快升级。
攻击者可以利用此路径遍历漏洞读取服务器上的任意文件,包括配置文件、源代码、数据库备份等。如果服务器上存储了敏感信息,例如 API 密钥、数据库密码或用户数据,攻击者可能会窃取这些信息。此外,攻击者还可以利用此漏洞修改服务器上的文件,从而篡改网站内容或破坏系统功能。由于该漏洞允许访问任意文件,因此其潜在影响范围广泛,可能导致严重的安全事件。
此漏洞已公开披露,存在公开的利用方法。目前尚无关于该漏洞被大规模利用的报告,但由于其易于利用,建议尽快采取缓解措施。CISA 尚未将其添加到 KEV 目录。NVD 发布日期为 2024-11-14。
WordPress websites utilizing the Global Gateway e4 | Payeezy Gateway plugin, particularly those running versions 2.0 or earlier, are at significant risk. Shared hosting environments where file permissions are not strictly controlled are also more vulnerable, as an attacker could potentially leverage this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/global-gateway-e4-payeezy-gateway/• generic web:
curl -I 'https://your-website.com/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.22% (44% 百分位)
CISA SSVC
CVSS 向量
首先,强烈建议立即升级到 Global Gateway e4 | Payeezy Gateway 2.0.1 版本以修复此漏洞。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或反向代理来过滤恶意请求,阻止攻击者访问敏感文件。此外,可以审查 Global Gateway e4 | Payeezy Gateway 的配置,确保文件访问权限受到严格限制。升级后,请验证文件访问权限是否已正确配置,并检查系统日志是否存在异常活动。
将 Global Gateway e4 | Payeezy Gateway 插件更新到 2.0 以上的版本。如果不可用,请考虑禁用或删除插件,直到发布修复版本。请参阅供应商网站以获取更多信息和更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-52371 是 DonnellC Global Gateway e4 | Payeezy Gateway 中的路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您使用的是 Global Gateway e4 | Payeezy Gateway 2.0 或更早版本,则可能受到此漏洞的影响。
升级到 Global Gateway e4 | Payeezy Gateway 2.0.1 版本以修复此漏洞。
目前尚无关于该漏洞被大规模利用的报告,但由于其易于利用,建议尽快采取缓解措施。
请访问 DonnellC 官方网站或 Global Gateway e4 | Payeezy Gateway 的支持页面查找相关安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。