平台
wordpress
组件
favicon-generator
修复版本
1.5.1
CVE-2024-7568是一个高危漏洞,影响WordPress Favicon Generator插件。该漏洞允许未经身份验证的攻击者通过跨站请求伪造(CSRF)攻击删除服务器上的任意文件,造成严重的安全风险。该漏洞影响Favicon Generator插件版本小于等于1.5。作者已删除该功能并关闭插件,建议用户寻找替代插件。
攻击者可以利用此漏洞通过精心构造的恶意请求,诱骗管理员执行删除操作,从而删除服务器上的敏感文件,例如配置文件、数据库备份或其他重要数据。这可能导致网站数据泄露、服务中断甚至完全控制服务器。由于该插件的功能涉及文件操作,攻击者可能能够删除核心WordPress文件,导致网站无法正常运行。该漏洞的CSRF特性意味着攻击者无需直接访问服务器,只需诱骗管理员点击恶意链接即可执行攻击。
该漏洞已公开披露,且CVSS评分为CRITICAL,表明其具有极高的风险。目前尚未发现公开的PoC,但由于漏洞的严重性和CSRF攻击的易用性,存在被利用的风险。CISA尚未将其添加到KEV目录,但建议密切关注相关信息。
WordPress sites using the Favicon Generator plugin, particularly those with administrative users who may be susceptible to social engineering attacks. Shared hosting environments are at increased risk, as a compromised site can potentially impact other users on the same server.
• wordpress / composer / npm:
grep -r "output_sub_admin_page_0" /var/www/html/wp-content/plugins/favicon-generator/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=favicon-generator-settings&action=delete_file # Check for lack of CSRF protectiondisclosure
漏洞利用状态
EPSS
0.43% (63% 百分位)
CISA SSVC
CVSS 向量
由于Favicon Generator插件作者已删除该功能并关闭插件,最有效的缓解措施是立即停止使用该插件并寻找替代方案。如果无法立即更换插件,建议禁用该插件,并确保WordPress核心和所有其他插件都已更新到最新版本,以减少潜在的攻击面。此外,实施严格的CSRF防护措施,例如使用强nonce验证,可以降低CSRF攻击的风险。监控WordPress网站的访问日志,查找可疑的请求,有助于及时发现和响应潜在的攻击。
该插件已被作者弃用。建议寻找一个用于 favicon 管理的替代插件。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-7568是WordPress Favicon Generator插件中发现的跨站请求伪造(CSRF)漏洞,允许攻击者删除服务器上的任意文件。
如果您正在使用WordPress Favicon Generator插件,并且版本小于等于1.5,则可能受到影响。建议立即寻找替代插件。
作者已删除该功能并关闭插件。最有效的修复方法是停止使用该插件并寻找替代方案。
目前尚未发现公开的PoC,但由于漏洞的严重性,存在被利用的风险。
请访问WordPress官方网站或Favicon Generator插件的官方网站,查找相关安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。