HIGHCVE-2024-8352CVSS 7.5

Social Web Suite – Social Media Auto Post, Social Media Auto Publish <= 4.1.11 - 目录遍历漏洞导致任意文件下载

Q: 什么是 CVE-2024-8352 — 目录遍历漏洞在 Social Web Suite 中？

CVE-2024-8352 是 Social Web Suite – Social Media Auto Post 插件中的一个目录遍历漏洞，允许攻击者读取服务器上的任意文件。

Q: 我是否受到 CVE-2024-8352 在 Social Web Suite 中影响？

如果您使用的是 Social Web Suite – Social Media Auto Post 插件，且版本小于等于 4.1.11，则您可能受到影响。

Q: 我如何修复 CVE-2024-8352 在 Social Web Suite 中？

目前官方尚未发布修复版本。建议备份网站并采取缓解措施，如限制对 download_log 函数的访问。

Q: CVE-2024-8352 是否正在被积极利用？

目前尚无大规模利用的报告，但由于其易于利用，存在被攻击者的利用的可能性。

Q: 在哪里可以找到 Social Web Suite 官方关于 CVE-2024-8352 的公告？

请访问 Social Web Suite 官方网站或 WordPress 插件目录，查找相关公告。

平台

wordpress

组件

social-web-suite

修复版本

4.1.12

AI Confidence: highNVDEPSS 3.4%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-8352 是 Social Web Suite – Social Media Auto Post, Social Media Auto Publish 插件中的一个目录遍历漏洞。该漏洞允许未经身份验证的攻击者通过 download_log 函数读取服务器上的任意文件，从而可能泄露敏感信息。该漏洞影响所有版本小于等于 4.1.11 的插件。建议尽快升级到修复版本或采取缓解措施。

影响与攻击场景

该漏洞的潜在影响非常严重。攻击者可以利用此漏洞访问服务器上的任何文件，包括配置文件、数据库凭证、源代码和其他敏感数据。如果攻击者能够获取这些信息，他们可以完全控制服务器，窃取数据，或进行其他恶意活动。由于该漏洞无需身份验证，攻击者可以轻松地利用它，造成广泛的损害。攻击者可能利用此漏洞获取 WordPress 网站的管理员凭据，进而控制整个网站。

利用背景

该漏洞已公开披露，存在公开的利用方法。目前尚无关于该漏洞被大规模利用的报告，但由于其易于利用，存在被攻击者的利用的可能性。建议密切关注安全社区的动态，并及时采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。

哪些人处于风险中翻译中…

WordPress websites utilizing the Social Web Suite – Social Media Auto Post, Social Media Auto Publish plugin, particularly those running versions prior to the patched release, are at risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher density of potential targets.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r "download_log function" /var/www/html/wp-content/plugins/social-web-suite-social-media-auto-post-social-media-auto-publish/

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/social-web-suite-social-media-auto-post-social-media-auto-publish/../../../../etc/passwd' # Attempt to access sensitive files

攻击时间线

2024-10-03Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

3.42% (87% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件social-web-suite

供应商dejanmarkovic

影响范围修复版本

* – 4.1.114.1.12

弱点分类 (CWE)

CWE-22

时间线

已保留2024-08-30
发布日期2024-10-03
EPSS 更新日期2026-04-02

未修复 — 披露已598天

缓解措施和替代方案

目前，官方尚未发布修复版本。在升级之前，建议备份 WordPress 网站。作为临时缓解措施，可以尝试限制对 download_log 函数的访问，例如通过修改 WordPress 的 .htaccess 文件来阻止对该函数的直接访问。此外，可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止目录遍历攻击。定期审查服务器上的文件权限，确保只有授权用户才能访问敏感文件。升级到最新版本的 WordPress 和所有插件，以减少其他潜在漏洞。

修复方法翻译中…

Actualice el plugin Social Web Suite – Social Media Auto Post, Social Media Auto Publish a la última versión disponible. La versión corregida incluye una solución para la vulnerabilidad de recorrido de directorios que permite la descarga de archivos arbitrarios.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-8352 — 目录遍历漏洞在 Social Web Suite 中？