CVE-2024-5456 是 Panda Video WordPress 插件中的一个本地文件包含 (LFI) 漏洞。该漏洞允许经过身份验证的攻击者(具有贡献者级别或更高的权限)包含并执行服务器上的任意文件,从而可能导致代码执行。受影响的版本包括 Panda Video WordPress 插件 1.4.0 及更早版本。建议尽快升级到修复版本或采取缓解措施。
此 LFI 漏洞的潜在影响非常严重。攻击者可以利用此漏洞包含服务器上的敏感文件,例如配置文件或数据库凭证。更糟糕的是,如果攻击者能够上传图像或其他“安全”文件类型,他们可以利用此漏洞执行任意 PHP 代码。这可能导致攻击者完全控制受影响的 WordPress 网站,窃取数据、篡改内容或将其用作进一步攻击其他系统的跳板。由于该漏洞需要身份验证,但贡献者权限通常授予用户,因此攻击面相对较广。
目前,该漏洞已公开披露,并且可能存在公开的利用代码。由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中,但由于其潜在影响,应密切关注其状态。攻击者可能正在积极扫描易受攻击的 WordPress 网站。
WordPress websites using the Panda Video plugin, particularly those with multiple users granted Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable, as attackers may be able to upload malicious files more easily.
• wordpress / composer / npm:
grep -r 'selected_button' /var/www/html/wp-content/plugins/panda-video/• wordpress / composer / npm:
wp plugin list --status=inactive | grep panda-video• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/panda-video/ | grep selected_buttondisclosure
漏洞利用状态
EPSS
0.58% (69% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Panda Video WordPress 插件升级到修复版本。如果无法立即升级,可以考虑以下临时缓解措施:限制上传文件的类型,以防止攻击者上传可执行代码;实施严格的访问控制,以限制具有贡献者权限的用户可以访问的资源;使用 Web 应用防火墙 (WAF) 来检测和阻止恶意请求。此外,监控 WordPress 网站的日志文件,以查找任何可疑活动。升级后,请确认漏洞已修复,例如通过尝试触发漏洞并验证是否不再有效。
Actualice el plugin Panda Video a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-5456 是 Panda Video WordPress 插件中发现的一个本地文件包含 (LFI) 漏洞,允许攻击者包含并执行服务器上的任意文件,影响版本 ≤1.4.0。
如果您正在使用 Panda Video WordPress 插件的版本低于或等于 1.4.0,则您可能受到此漏洞的影响。请立即检查您的插件版本。
最有效的修复方法是立即将 Panda Video WordPress 插件升级到修复版本。
该漏洞已公开披露,并且可能存在公开的利用代码,因此存在被积极利用的风险。
请访问 Panda Video 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。