平台
wordpress
组件
wp-bootscraper
修复版本
2.1.1
CVE-2024-52449 是 Bootscraper WordPress 插件中的路径遍历漏洞,允许攻击者利用 PHP 本地文件包含 (LFI)。该漏洞影响 Bootscraper 插件版本小于等于 2.1.0 的用户。攻击者可以利用此漏洞读取服务器上的敏感文件,从而可能导致信息泄露。已发布安全补丁版本 2.1.1,建议立即升级。
该路径遍历漏洞允许攻击者通过构造恶意请求,访问服务器文件系统中的任意文件。攻击者可以利用此漏洞读取配置文件、数据库凭证、源代码或其他敏感信息。如果攻击者能够读取包含数据库连接字符串的文件,他们可能能够访问数据库并窃取数据。此外,攻击者还可以利用此漏洞执行任意代码,如果服务器配置不当,可能导致服务器被完全控制。此漏洞的潜在影响包括数据泄露、服务中断和系统被入侵。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。
WordPress websites utilizing the Navneil Bootscraper plugin, particularly those running older versions (≤2.1.0), are at risk. Shared hosting environments where server file permissions are less tightly controlled are especially vulnerable, as attackers may be able to leverage the vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/bootscraper/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/bootscraper/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.59% (69% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Bootscraper WordPress 插件升级至 2.1.1 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来阻止恶意请求。配置 WAF 以过滤包含路径遍历攻击模式的请求,例如使用 ../ 序列。此外,确保 WordPress 插件目录的权限设置正确,防止未经授权的访问。升级后,请检查 Bootscraper 插件的配置,确保没有暴露敏感信息。
Actualice el plugin Bootscraper a la última versión disponible. Si no hay una versión más reciente, considere desinstalar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de inclusión de archivos locales.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-52449 是 Bootscraper WordPress 插件中的一个路径遍历漏洞,允许攻击者通过 PHP 本地文件包含访问服务器上的敏感文件。
如果您正在使用 Bootscraper WordPress 插件,且版本小于等于 2.1.0,则您可能受到此漏洞的影响。
立即将 Bootscraper WordPress 插件升级至 2.1.1 或更高版本。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 Bootscraper 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的最新信息和公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。