平台
wordpress
组件
devvn-image-hotspot
修复版本
1.2.6
CVE-2024-7656描述了WordPress插件Image Hotspot by DevVN中的PHP对象注入漏洞。该漏洞允许经过身份验证的攻击者(具有作者级别或更高权限)通过序列化不可信的输入来注入PHP对象,从而可能导致代码执行、文件删除或敏感数据泄露。受影响的版本包括1.2.5及更早版本。建议尽快升级插件或采取缓解措施。
该漏洞的潜在影响非常严重。攻击者可以利用PHP对象注入漏洞执行任意代码,从而完全控制受影响的WordPress站点。攻击者可以读取、修改或删除任何文件,包括数据库文件、配置文件和其他敏感数据。此外,攻击者还可以利用此漏洞来执行恶意代码,例如安装后门、窃取凭据或发起分布式拒绝服务攻击。虽然目前没有已知的PHP对象利用链存在于Image Hotspot插件本身中,但如果目标系统安装了其他插件或主题,并且存在利用链,则攻击者的影响将大大增加。
目前,该漏洞已公开披露,但尚未确认有活跃的利用活动。该漏洞被评定为高危,因为它可以导致远程代码执行。建议密切关注漏洞利用情况,并及时采取缓解措施。该漏洞已在2024年8月24日发布。
WordPress websites utilizing the Image Hotspot by DevVN plugin, particularly those with multiple plugins or themes installed, are at elevated risk. Shared hosting environments where multiple WordPress instances share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'devvn_ihotspot_shortcode_func' /var/www/html/wp-content/plugins/image-hotspot/• wordpress / composer / npm:
wp plugin list --status=active | grep image-hotspot• wordpress / composer / npm:
wp plugin update image-hotspotdisclosure
漏洞利用状态
EPSS
1.63% (82% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即将Image Hotspot插件升级到最新版本,该版本已修复此漏洞。如果无法立即升级,则可以考虑以下临时缓解措施:首先,限制对插件的访问权限,仅允许授权用户访问。其次,实施严格的输入验证和清理措施,以防止攻击者注入恶意代码。第三,使用Web应用程序防火墙(WAF)来检测和阻止恶意请求。最后,定期扫描WordPress站点是否存在漏洞,并及时修复发现的任何问题。
Actualice el plugin Image Hotspot by DevVN a la última versión disponible. Esto solucionará la vulnerabilidad de inyección de objetos PHP.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-7656描述了WordPress插件Image Hotspot by DevVN中存在的PHP对象注入漏洞,攻击者可以利用此漏洞执行代码。
如果您正在使用Image Hotspot插件的1.2.5及更早版本,则您可能受到此漏洞的影响。请立即检查您的插件版本。
建议立即将Image Hotspot插件升级到最新版本,该版本已修复此漏洞。
目前尚未确认有活跃的利用活动,但该漏洞已公开披露,建议及时采取缓解措施。
请访问DevVN的官方网站或WordPress插件目录,以获取有关此漏洞的官方公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。