HIGHCVE-2024-5709CVSS 8.8

WPBakery <= 7.7 - 认证 (作者+) 本地文件包含

Q: 什么是 CVE-2024-5709 — 本地文件包含漏洞在 WPBakery Visual Composer 中？

CVE-2024-5709 是 WPBakery Visual Composer 插件中的一个本地文件包含 (LFI) 漏洞，允许攻击者包含并执行服务器上的任意文件，从而可能导致代码执行。

Q: 我是否受到 CVE-2024-5709 在 WPBakery Visual Composer 中影响？

如果您正在使用 WPBakery Visual Composer 的 7.7 或更早版本，则您可能受到此漏洞的影响。请立即检查您的插件版本并采取相应的措施。

Q: 我如何修复 CVE-2024-5709 在 WPBakery Visual Composer 中？

最有效的修复方法是立即将 WPBakery Visual Composer 升级到修复版本。如果无法立即升级，请采取临时缓解措施，例如限制文件上传类型和使用 WAF。

Q: CVE-2024-5709 是否正在被积极利用？

虽然目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，预计未来可能会出现利用案例。

Q: 在哪里可以找到 WPBakery Visual Composer 中 CVE-2024-5709 的官方公告？

请访问 WPBakery 的官方网站或 WordPress 插件目录，以获取有关此漏洞的官方公告和修复信息。

平台

wordpress

组件

wpbakery

修复版本

7.7.1

AI Confidence: highNVDEPSS 0.7%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-5709 是 WPBakery Visual Composer 插件的一个本地文件包含 (LFI) 漏洞。该漏洞允许经过身份验证的攻击者（具有作者级别或更高的权限）包含并执行服务器上的任意文件，从而可能导致代码执行。该漏洞影响 WPBakery Visual Composer 的所有版本，包括 7.7 及更早版本。建议尽快升级到修复版本或采取缓解措施。

影响与攻击场景

该漏洞的影响非常严重，攻击者可以利用它来完全控制受影响的 WordPress 网站。攻击者可以上传恶意文件，然后通过 LFI 漏洞包含并执行这些文件。这可以导致攻击者读取敏感数据、修改网站内容、安装恶意软件，甚至完全接管服务器。由于攻击者只需要作者级别的权限，因此即使是权限较低的用户也可能利用此漏洞。如果攻击者能够上传图像或其他“安全”文件类型，则风险会进一步增加，因为这些文件可以被包含并执行。

利用背景

该漏洞已公开披露，并且存在潜在的利用风险。目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，预计未来可能会出现利用案例。建议密切关注安全社区的动态，并及时采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。

哪些人处于风险中翻译中…

WordPress websites utilizing WPBakery Visual Composer, particularly those with weak user authentication or inadequate file upload restrictions, are at significant risk. Shared hosting environments where users have Author-level access or higher are especially vulnerable, as attackers can leverage this privilege to compromise the entire hosting account.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r 'layout_name' /var/www/html/wp-content/plugins/wpb-visual-composer/

• wordpress / composer / npm:

wp plugin list --status=active | grep wpb-visual-composer

• wordpress / composer / npm:

curl -I http://your-wordpress-site.com/wp-content/plugins/wpb-visual-composer/layout.php?layout_name=../../../../wp-config.php

• generic web: Check WordPress plugin directory for mentions of the vulnerability and associated IOCs.

攻击时间线

2024-08-06Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.69% (72% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件wpbakery

供应商wpbakery

影响范围修复版本

* – 7.77.7.1

弱点分类 (CWE)

CWE-22

时间线

已保留2024-06-06
发布日期2024-08-06
EPSS 更新日期2026-04-02

未修复 — 披露已656天

缓解措施和替代方案

最有效的缓解措施是立即将 WPBakery Visual Composer 升级到修复版本。如果无法立即升级，可以考虑以下临时缓解措施：限制用户上传文件的类型，确保上传目录没有可执行权限，并使用 Web 应用防火墙 (WAF) 来阻止对 'layout_name' 参数的恶意请求。此外，定期审查 WordPress 网站的权限设置，确保只有必要的用户具有管理员权限。升级后，请验证漏洞是否已成功修复，例如通过尝试触发 LFI 漏洞并确认其已被阻止。

修复方法翻译中…

Actualice el plugin WPBakery Visual Composer a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-5709 — 本地文件包含漏洞在 WPBakery Visual Composer 中？

CVE-2024-5709 是 WPBakery Visual Composer 插件中的一个本地文件包含 (LFI) 漏洞，允许攻击者包含并执行服务器上的任意文件，从而可能导致代码执行。

我是否受到 CVE-2024-5709 在 WPBakery Visual Composer 中影响？

如果您正在使用 WPBakery Visual Composer 的 7.7 或更早版本，则您可能受到此漏洞的影响。请立即检查您的插件版本并采取相应的措施。

我如何修复 CVE-2024-5709 在 WPBakery Visual Composer 中？

最有效的修复方法是立即将 WPBakery Visual Composer 升级到修复版本。如果无法立即升级，请采取临时缓解措施，例如限制文件上传类型和使用 WAF。

CVE-2024-5709 是否正在被积极利用？

虽然目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，预计未来可能会出现利用案例。

在哪里可以找到 WPBakery Visual Composer 中 CVE-2024-5709 的官方公告？

请访问 WPBakery 的官方网站或 WordPress 插件目录，以获取有关此漏洞的官方公告和修复信息。

WPBakery <= 7.7 - 认证 (作者+) 本地文件包含

影响与攻击场景

利用背景

哪些人处于风险中翻译中…

检测步骤翻译中…

攻击时间线

威胁情报

受影响的软件

弱点分类 (CWE)

时间线

缓解措施和替代方案

修复方法翻译中…

CVE 安全通讯

常见问题

什么是 CVE-2024-5709 — 本地文件包含漏洞在 WPBakery Visual Composer 中？

我是否受到 CVE-2024-5709 在 WPBakery Visual Composer 中影响？

我如何修复 CVE-2024-5709 在 WPBakery Visual Composer 中？

CVE-2024-5709 是否正在被积极利用？

在哪里可以找到 WPBakery Visual Composer 中 CVE-2024-5709 的官方公告？

你的项目受影响吗?

检测此 CVE 是否影响你的项目