平台
wordpress
组件
bit-form
修复版本
2.13.5
CVE-2024-7782是一个在Contact Form by Bit Form插件中发现的任意文件访问漏洞。该漏洞允许经过身份验证的攻击者(具有管理员级别权限及以上)删除服务器上的任意文件,从而可能导致远程代码执行。该漏洞影响WordPress插件版本2.0到2.13.4。建议立即升级到最新版本或采取缓解措施以降低风险。
该漏洞的潜在影响非常严重。攻击者可以利用该漏洞删除关键文件,例如wp-config.php,从而完全控制WordPress站点。攻击者还可以删除其他重要文件,导致站点崩溃或数据泄露。由于该漏洞需要管理员权限,因此攻击者通常需要先获得对站点的访问权限,例如通过密码破解或利用其他漏洞。如果wp-config.php被删除,攻击者可以修改数据库连接信息,从而完全控制数据库和站点。
目前尚未公开发现针对该漏洞的利用代码,但由于漏洞的严重性和易利用性,预计未来可能会出现。该漏洞已添加到CISA KEV目录中,表明其具有较高的风险。建议密切关注安全社区的动态,并及时采取措施。
WordPress websites utilizing the Contact Form by Bit Form plugin suite, particularly those with administrator accounts that have not been secured with strong passwords and multi-factor authentication, are at risk. Shared hosting environments where WordPress installations share file system permissions are also at higher risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'iconRemove' /var/www/html/wp-content/plugins/contact-form-by-bit-form/• wordpress / composer / npm:
wp plugin list --status=all | grep 'contact-form-by-bit-form'• wordpress / composer / npm:
wp plugin update contact-form-by-bit-form• generic web: Check WordPress plugin directory for updates and security advisories related to Contact Form by Bit Form.
disclosure
漏洞利用状态
EPSS
10.11% (93% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将Contact Form by Bit Form插件升级到最新版本。如果升级会导致站点出现问题,可以考虑回滚到之前的版本,但请注意这只是临时解决方案。此外,可以考虑使用Web应用防火墙(WAF)来阻止恶意请求,并配置WordPress的权限控制,限制管理员用户的权限。定期备份WordPress站点和数据库,以便在发生安全事件时能够快速恢复。
Actualice el plugin Contact Form by Bit Form a la última versión disponible. Esto solucionará la vulnerabilidad de eliminación arbitraria de archivos.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-7782是Contact Form by Bit Form插件中发现的一个任意文件访问漏洞,允许攻击者删除服务器上的文件,可能导致远程代码执行。
如果您正在使用Contact Form by Bit Form插件的版本2.0到2.13.4,则可能受到影响。请立即检查您的插件版本。
建议立即将Contact Form by Bit Form插件升级到最新版本。
目前尚未公开发现利用代码,但由于漏洞的严重性,预计未来可能会出现。
请访问Contact Form by Bit Form插件的官方网站或WordPress插件目录,查找相关公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。