平台
wordpress
组件
wp-event-solution
修复版本
4.0.9
CVE-2024-7149 是 Eventin WordPress 插件中的一个本地文件包含(LFI)漏洞。该漏洞允许经过身份验证的攻击者(具有贡献者级别或更高的权限)包含并执行服务器上的任意文件,从而可能导致代码执行。受影响的版本包括 Eventin 插件 4.0.8 及更早版本。建议立即升级到修复版本或采取缓解措施。
该 LFI 漏洞的潜在影响非常严重。攻击者可以利用此漏洞包含并执行任何 PHP 代码,从而完全控制受影响的 WordPress 站点。这可能导致敏感数据泄露、恶意软件上传、网站篡改,甚至完全控制服务器。攻击者可以利用此漏洞绕过访问控制,获取敏感数据,或在能够上传图像和其他“安全”文件类型的场景中实现代码执行。由于 WordPress 插件的广泛使用,此漏洞可能影响大量网站。
目前尚未公开发现针对此漏洞的公开利用程序,但由于漏洞的严重性和 WordPress 的广泛使用,预计可能会出现。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,并及时采取缓解措施。
Websites utilizing the Eventin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unable to implement effective mitigation measures beyond plugin updates.
• wordpress / composer / npm:
grep -r 'style=' /var/www/html/wp-content/plugins/eventin/• wordpress / composer / npm:
wp plugin list | grep eventin• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
漏洞利用状态
EPSS
0.71% (72% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Eventin WordPress 插件升级到修复版本。如果无法立即升级,可以考虑以下临时缓解措施:限制上传文件的类型,确保文件上传目录的权限设置正确,并使用 Web 应用防火墙(WAF)来阻止可疑的请求。此外,定期审查 WordPress 插件的安全性,并及时更新所有插件。升级后,请确认漏洞已修复,例如通过尝试触发 LFI 漏洞的攻击向量,并验证其是否被阻止。
Actualice el plugin Eventin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes autenticados ejecutar código PHP arbitrario en el servidor. La actualización corrige esta vulnerabilidad.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-7149 是 Eventin WordPress 插件中发现的一个本地文件包含(LFI)漏洞,允许攻击者包含并执行服务器上的任意文件,可能导致代码执行。
如果您正在使用 Eventin WordPress 插件的版本小于等于 4.0.8,则您可能受到此漏洞的影响。请立即检查您的插件版本并采取相应的措施。
最有效的修复方法是立即将 Eventin WordPress 插件升级到修复版本。
目前尚未公开发现针对此漏洞的公开利用程序,但由于漏洞的严重性,预计可能会出现。
请访问 Eventin 官方网站或 WordPress 插件目录,查找有关 CVE-2024-7149 的官方公告和修复说明。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。