平台
wordpress
组件
ultimate-classified-listings
修复版本
1.4.1
CVE-2024-52448 是 WebCodingPlace Ultimate Classified Listings 中的路径遍历漏洞,允许攻击者利用本地文件包含 (LFI)。该漏洞影响 Ultimate Classified Listings 的 1.4 及更早版本。攻击者可以利用此漏洞读取服务器上的任意文件,从而可能导致敏感信息泄露。已发布安全补丁版本 1.4.1。
攻击者可以利用此路径遍历漏洞访问服务器上的任意文件。这可能包括配置文件、数据库凭据、源代码和其他敏感数据。攻击者可以利用这些信息进一步破坏系统,例如执行恶意代码或窃取用户数据。如果服务器上存储了用户上传的文件,攻击者可能还可以通过此漏洞访问这些文件。此漏洞的潜在影响范围取决于服务器上存储的数据类型和敏感程度,以及服务器的配置方式。
目前尚未公开发现针对此漏洞的利用代码,但由于其严重性和易于利用性,预计未来可能会出现。该漏洞已于 2024 年 11 月 20 日公开披露。建议密切关注安全社区的动态,并及时采取缓解措施。
WordPress websites utilizing the Ultimate Classified Listings plugin, particularly those running versions 1.4 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable, as are sites with outdated or unmanaged WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-classified-listings/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/ultimate-classified-listings/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.22% (44% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Ultimate Classified Listings 升级至 1.4.1 版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来阻止对可能利用此漏洞的文件的访问。此外,可以限制服务器上的文件访问权限,以减少攻击者可能访问的数据量。监控服务器上的文件访问日志,可以帮助检测潜在的攻击尝试。如果怀疑系统已被入侵,请立即进行调查并采取必要的补救措施。
Actualice el plugin Ultimate Classified Listings a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de inclusión de archivos locales.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-52448 是 WebCodingPlace Ultimate Classified Listings 插件中的一个路径遍历漏洞,允许攻击者通过本地文件包含 (LFI) 访问服务器上的敏感文件。
如果您使用的是 Ultimate Classified Listings 的 1.4 或更早版本,则您可能受到此漏洞的影响。请立即升级至 1.4.1 版本。
将 Ultimate Classified Listings 升级至 1.4.1 版本。如果无法升级,请考虑使用 WAF 或限制文件访问权限。
目前尚未公开发现针对此漏洞的利用代码,但由于其严重性和易于利用性,预计未来可能会出现。
请访问 WebCodingPlace 官方网站或 WordPress 插件目录,查找有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。