平台
wordpress
组件
woocommerce-currency-switcher
修复版本
1.4.3
CVE-2024-8271 描述了 WooCommerce 货币切换器专业版插件中的一个严重漏洞,允许未经身份验证的攻击者执行任意短代码。此漏洞源于插件在 'woocsgetcustompricehtml' 函数中未正确验证值,导致 do_shortcode 函数被滥用。受影响的版本包括所有早于或等于 1.4.2.1 的版本。建议用户尽快更新插件或采取缓解措施以降低风险。
攻击者可以利用此漏洞在受影响的 WordPress 网站上执行任意短代码,从而获得对网站的控制权。这可能导致敏感信息泄露,例如用户数据、数据库内容或网站配置。攻击者还可以利用此漏洞修改网站内容、植入恶意代码或执行其他恶意操作。由于该漏洞不需要身份验证,因此攻击者可以轻松利用它,造成广泛的影响。此漏洞的潜在影响类似于其他短代码执行漏洞,可能导致网站完全被攻陷。
该漏洞已公开披露,并且存在利用此漏洞的可能性。目前尚未发现已知的公开利用程序,但由于漏洞的严重性和易利用性,建议用户尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。NVD 已发布相关信息。
Websites utilizing the FOX – Currency Switcher Professional for WooCommerce plugin, particularly those running older versions (≤1.4.2.1), are at significant risk. Shared hosting environments where plugin updates are not managed by the website owner are also particularly vulnerable, as are sites with weak password policies or inadequate security configurations.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/fox-currency-switcher-professional-for-woocommerce/• wordpress / composer / npm:
wp plugin list | grep 'fox-currency-switcher-professional-for-woocommerce'• wordpress / composer / npm:
wp plugin update fox-currency-switcher-professional-for-woocommercedisclosure
漏洞利用状态
EPSS
1.72% (82% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 FOX – Currency Switcher Professional for WooCommerce 插件升级到最新版本,该版本修复了此漏洞。如果无法立即升级,可以考虑禁用该插件,或者限制对插件功能的访问。此外,可以实施 Web 应用防火墙 (WAF) 规则,以阻止恶意短代码的执行。监控 WordPress 网站的日志文件,查找可疑活动,例如未经授权的短代码执行。定期审查插件的配置,确保其安全性。
Actualice el plugin FOX – Currency Switcher Professional for WooCommerce a la última versión disponible. Esto solucionará la vulnerabilidad de ejecución de shortcodes arbitrarios sin autenticación.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-8271 是 WooCommerce 货币切换器专业版插件中的一个漏洞,允许攻击者执行任意短代码,可能导致网站控制权被夺。
如果您正在使用 WooCommerce 货币切换器专业版 1.4.2.1 或更早版本,则您可能受到此漏洞的影响。
立即将 WooCommerce 货币切换器专业版插件升级到最新版本以修复此漏洞。
虽然目前尚未发现已知的公开利用程序,但由于漏洞的严重性和易利用性,建议用户尽快采取缓解措施。
请访问 WooCommerce 官方网站或相关安全公告页面,以获取有关 CVE-2024-8271 的更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。