WordPress Opal Woo Custom Product Variation 插件 <= 1.1.3 - 任意文件删除漏洞

攻击者可以利用此路径遍历漏洞访问服务器文件系统中的任意文件，而无需身份验证。这可能包括读取配置文件、数据库备份或其他包含敏感信息的私有文件。攻击者还可以利用此漏洞修改或删除文件，从而导致服务中断或数据丢失。如果服务器上运行了其他易受攻击的应用程序，攻击者还可以利用此漏洞作为跳板，进行横向移动，进一步扩大攻击范围。此漏洞的潜在影响包括数据泄露、服务中断、系统损坏和声誉损失。

WordPress websites utilizing the Opal Woo Custom Product Variation plugin, particularly those hosting sensitive data or running older, unpatched versions (≤1.1.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Attempt path traversal

1. 2024-11-20Disclosure

   disclosure

1. 已保留2024-11-11
2. 发布日期2024-11-20
3. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 Opal Woo Custom Product Variation 升级到 1.1.4 版本。如果无法立即升级，可以考虑使用 Web 应用防火墙 (WAF) 来阻止对可能触发漏洞的文件的访问。此外，可以配置服务器，限制用户对文件系统的访问权限，从而降低攻击者利用此漏洞的风险。监控服务器上的文件访问日志，可以帮助检测和响应潜在的攻击尝试。升级后，请验证文件权限是否正确设置，以确保只有授权用户才能访问敏感文件。

活跃安装数

400小众

插件评分

0.0

需要WordPress版本

5.0+

兼容至

6.9.4

需要PHP版本

5.4+