平台
wordpress
组件
hurrakify
修复版本
2.4.1
CVE-2024-54330 描述了 Hurrakify WordPress 插件中的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许未经授权的攻击者通过 Hurrakify 插件发起请求,访问内部网络资源或执行恶意操作。该漏洞影响 Hurrakify 插件版本小于等于 2.4 的用户,建议尽快升级至 2.4.1 版本以修复此安全问题。
SSRF 漏洞允许攻击者利用服务器作为代理,访问原本无法直接访问的内部资源。在 Hurrakify 插件中,攻击者可以利用此漏洞扫描内部网络,访问敏感数据,甚至可能控制内部服务。攻击者可能利用该漏洞读取内部数据库配置,访问内部 API,或执行其他恶意操作。如果 Hurrakify 插件被用于处理用户上传的文件,攻击者可能利用 SSRF 漏洞访问存储这些文件的内部服务器。
该漏洞已公开披露,且 CVSS 评分为高危 (7.2)。目前尚未观察到大规模的利用活动,但由于 SSRF 漏洞的潜在影响,建议尽快采取缓解措施。该漏洞可能被安全研究人员利用,并可能被添加到 CISA KEV 目录。
WordPress websites utilizing the Hurrakify plugin, particularly those running versions 2.4 or earlier, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with sensitive internal resources accessible via HTTP/HTTPS are also at higher risk.
• wordpress / composer / npm:
grep -r 'http://' /var/www/html/wp-content/plugins/hurrakify/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/hurrakify/ | grep Serverdisclosure
漏洞利用状态
EPSS
32.44% (97% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Hurrakify WordPress 插件升级至 2.4.1 版本。如果由于兼容性问题无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,阻止对内部资源的访问。此外,限制 Hurrakify 插件的权限,避免其访问敏感资源,也能降低风险。配置 WAF 规则,阻止对内部 IP 地址的请求,并监控 Hurrakify 插件的访问日志,以便及时发现异常活动。
将 Hurrakify 插件更新到最新可用版本。如果没有任何修复此漏洞的版本可用,请考虑禁用该插件,直到发布更新。联系插件开发者以请求解决方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-54330 是 Hurrakify WordPress 插件中的服务器端请求伪造 (SSRF) 漏洞,允许攻击者通过插件发起请求访问内部资源。
如果您使用的是 Hurrakify WordPress 插件版本小于等于 2.4,则可能受到此漏洞的影响。
升级 Hurrakify WordPress 插件至 2.4.1 版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但建议尽快采取缓解措施。
请访问 Hurrakify 官方网站或 WordPress 插件目录,查找有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。