平台
wordpress
组件
maxi-blocks
修复版本
1.9.3
CVE-2024-6885 描述了 MaxiBlocks WordPress 插件中的一个任意文件访问漏洞。该漏洞源于对文件路径验证不足,攻击者可以利用此漏洞删除服务器上的任意文件,从而可能导致远程代码执行。受影响的版本包括 1.9.2 及更早版本。建议用户尽快升级到最新版本以缓解风险。
该漏洞允许经过身份验证的攻击者(Subscriber 级别及以上)删除服务器上的任意文件。最严重的后果是攻击者可以删除 wp-config.php 文件,这将导致网站完全不可用,并可能允许攻击者完全控制服务器。攻击者还可以删除其他关键文件,从而导致数据丢失、服务中断或进一步的恶意活动。由于 WordPress 插件的广泛使用,此漏洞的影响范围可能非常广泛,可能影响大量网站。
目前尚无公开的漏洞利用程序 (PoC),但由于漏洞的严重性和易于利用,预计未来可能会出现。该漏洞已于 2024 年 7 月 23 日公开披露。CISA 尚未将其添加到 KEV 目录中,但由于其潜在影响,应密切关注。建议用户采取积极措施来缓解此风险。
WordPress websites utilizing the MaxiBlocks plugin, particularly those with Subscriber-level users or higher who have access to plugin settings, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Websites with outdated plugin versions are at the highest risk.
• wordpress / composer / npm:
wp plugin list | grep MaxiBlocks• wordpress / composer / npm:
wp plugin update MaxiBlocks• wordpress / composer / npm:
grep -r 'maxi_remove_custom_image_size' /var/www/html/wp-content/plugins/maxi-blocks/• wordpress / composer / npm:
grep -r 'maxi_add_custom_image_size' /var/www/html/wp-content/plugins/maxi-blocks/disclosure
漏洞利用状态
EPSS
7.87% (92% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 MaxiBlocks WordPress 插件升级到最新版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:限制 WordPress 用户的权限,确保只有具有必要权限的用户才能访问插件设置。实施 Web 应用防火墙 (WAF) 规则,以阻止对 maxiremovecustomimagesize 和 maxiaddcustomimagesize 函数的恶意请求。监控 WordPress 日志,查找任何可疑的文件删除活动。升级后,请验证插件是否已成功更新,并检查网站是否正常运行。
Actualice el plugin MaxiBlocks a la última versión disponible. La vulnerabilidad que permite la eliminación arbitraria de archivos ha sido corregida en versiones posteriores a la 1.9.2. Esto evitará que usuarios autenticados con privilegios de suscriptor o superiores puedan explotar esta vulnerabilidad.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-6885 是 MaxiBlocks WordPress 插件中发现的一个漏洞,允许攻击者删除服务器上的任意文件,可能导致远程代码执行。
如果您正在使用 MaxiBlocks WordPress 插件的 1.9.2 或更早版本,则您可能受到此漏洞的影响。请立即升级到最新版本。
最有效的修复方法是立即将 MaxiBlocks WordPress 插件升级到最新版本。
目前尚无公开的漏洞利用程序,但由于漏洞的严重性,预计未来可能会出现。
请访问 MaxiBlocks 插件的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。