HIGHCVE-2024-54291CVSS 8.6

WordPress PluginPass 插件 <= 0.9.10 - 任意文件下载/删除漏洞

Q: 什么是 CVE-2024-54291 — 路径遍历漏洞在 PluginPass 插件中？

CVE-2024-54291 描述了 PluginPass WordPress 插件中的路径遍历漏洞，攻击者可利用此漏洞访问服务器上的任意文件。

Q: 我是否受到 CVE-2024-54291 在 PluginPass 插件中的影响？

如果您正在使用 PluginPass 插件的版本小于等于 0.9.10，则您可能受到此漏洞的影响。

Q: 我如何修复 CVE-2024-54291 在 PluginPass 插件中？

立即将 PluginPass WordPress 插件升级至 0.9.11 或更高版本。

Q: CVE-2024-54291 是否正在被积极利用？

目前尚未公开发现针对 CVE-2024-54291 的公开利用代码，但由于漏洞的严重性，建议保持警惕。

Q: 在哪里可以找到 PluginPass 插件的官方安全公告，关于 CVE-2024-54291？

请访问 PluginPass 插件的官方网站或 WordPress 插件目录，查找相关的安全公告。

平台

wordpress

组件

pluginpass-pro-plugintheme-licensing

修复版本

0.9.11

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-54291 描述了 PluginPass WordPress 插件中的路径遍历漏洞。该漏洞允许攻击者通过操纵 Web 输入访问文件系统，可能导致敏感信息泄露或恶意文件上传。该漏洞影响 PluginPass 插件版本小于等于 0.9.10。已发布安全补丁，建议用户立即升级至 0.9.11 版本。

影响与攻击场景

攻击者可以利用此路径遍历漏洞，通过构造恶意的 URL 请求，访问服务器上的任意文件。这可能导致攻击者读取敏感配置文件、源代码或其他重要数据。更严重的后果是，攻击者可能利用此漏洞上传恶意文件，例如webshell，从而完全控制受影响的 WordPress 站点。由于 WordPress 插件的广泛使用，该漏洞的潜在影响范围非常广泛，可能影响大量网站的安全。

利用背景

目前尚未公开发现针对 CVE-2024-54291 的公开利用代码 (PoC)。CISA 尚未将其添加到 KEV 目录。由于该漏洞的严重性较高，建议密切关注安全社区的动态，以防出现利用代码或攻击活动。NVD 于 2025-03-28 公布。

哪些人处于风险中翻译中…

WordPress websites using the PluginPass plugin, particularly those running versions 0.9.10 or earlier, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and file permissions. Websites with legacy PluginPass installations or those that haven't performed regular plugin updates are also at increased risk.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/pluginpass/

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/pluginpass/../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list --status=inactive | grep pluginpass

• wordpress / composer / npm:

wp plugin update pluginpass

攻击时间线

2025-03-28Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.24% (48% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件pluginpass-pro-plugintheme-licensing

供应商NotFound

影响范围修复版本

0.0.0 – 0.9.100.9.11

弱点分类 (CWE)

CWE-22

时间线

已保留2024-12-02
发布日期2025-03-28
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是立即将 PluginPass WordPress 插件升级至 0.9.11 或更高版本。如果升级会导致网站出现问题，可以考虑回滚到之前的稳定版本，并尝试使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求。配置 WAF 规则以阻止包含 '../' 或其他路径遍历尝试的请求。此外，定期审查 WordPress 插件的权限设置，确保插件只具有必要的访问权限。

修复方法翻译中…

Actualice el plugin PluginPass a la última versión disponible. La vulnerabilidad permite la descarga y eliminación arbitraria de archivos, por lo que es crucial actualizar lo antes posible. Consulte la página del plugin en el repositorio de WordPress para obtener la versión más reciente.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-54291 — 路径遍历漏洞在 PluginPass 插件中？

CVE-2024-54291 描述了 PluginPass WordPress 插件中的路径遍历漏洞，攻击者可利用此漏洞访问服务器上的任意文件。

我是否受到 CVE-2024-54291 在 PluginPass 插件中的影响？

如果您正在使用 PluginPass 插件的版本小于等于 0.9.10，则您可能受到此漏洞的影响。

我如何修复 CVE-2024-54291 在 PluginPass 插件中？

立即将 PluginPass WordPress 插件升级至 0.9.11 或更高版本。

CVE-2024-54291 是否正在被积极利用？

目前尚未公开发现针对 CVE-2024-54291 的公开利用代码，但由于漏洞的严重性，建议保持警惕。

在哪里可以找到 PluginPass 插件的官方安全公告，关于 CVE-2024-54291？

请访问 PluginPass 插件的官方网站或 WordPress 插件目录，查找相关的安全公告。

WordPress PluginPass 插件 <= 0.9.10 - 任意文件下载/删除漏洞

影响与攻击场景

利用背景

哪些人处于风险中翻译中…

检测步骤翻译中…

攻击时间线

威胁情报

受影响的软件

弱点分类 (CWE)

时间线

缓解措施和替代方案

修复方法翻译中…

CVE 安全通讯

常见问题

什么是 CVE-2024-54291 — 路径遍历漏洞在 PluginPass 插件中？

我是否受到 CVE-2024-54291 在 PluginPass 插件中的影响？

我如何修复 CVE-2024-54291 在 PluginPass 插件中？

CVE-2024-54291 是否正在被积极利用？

在哪里可以找到 PluginPass 插件的官方安全公告，关于 CVE-2024-54291？

你的项目受影响吗?

检测此 CVE 是否影响你的项目