HIGHCVE-2024-8704CVSS 7.2

高级文件管理器 <= 5.2.8 - 经过身份验证 (管理员+) 通过 fma_locale 实现本地 JavaScript 文件包含

Q: 什么是CVE-2024-8704 — JavaScript文件包含漏洞在WordPress Advanced File Manager?

CVE-2024-8704描述了WordPress Advanced File Manager插件在版本小于等于5.2.8中存在的本地JavaScript文件包含漏洞，允许攻击者包含并执行服务器上的任意文件。

Q: 我是否受到CVE-2024-8704在WordPress Advanced File Manager的影响?

如果您正在使用WordPress Advanced File Manager插件，并且版本小于等于5.2.8，那么您可能受到此漏洞的影响。

Q: 我如何修复CVE-2024-8704在WordPress Advanced File Manager?

最有效的修复方法是立即升级到Advanced File Manager插件的修复版本。

Q: CVE-2024-8704是否正在被积极利用?

目前尚不清楚该漏洞是否正在被积极利用，但由于其严重性和易利用性，建议尽快采取缓解措施。

Q: 在哪里可以找到WordPress官方关于CVE-2024-8704的公告?

请查阅WordPress官方安全公告或Advanced File Manager插件的官方网站以获取更多信息。

平台

wordpress

组件

file-manager-advanced

修复版本

5.2.9

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-8704描述了WordPress Advanced File Manager插件中的一个本地JavaScript文件包含漏洞。该漏洞允许具有管理员级别或更高权限的身份验证攻击者包含并执行服务器上的任意文件，从而可能导致敏感数据泄露或代码执行。该漏洞影响所有版本小于等于5.2.8的Advanced File Manager插件。建议尽快升级到修复版本或采取缓解措施。

影响与攻击场景

该漏洞的影响非常严重，攻击者可以利用它来执行任意PHP代码。这意味着攻击者可以完全控制受影响的WordPress网站，包括修改文件、安装恶意软件、窃取敏感数据，甚至完全接管服务器。攻击者可以通过上传图像或其他“安全”文件类型，然后利用该漏洞包含这些文件来执行代码。如果攻击者能够获得服务器的访问权限，他们可以进一步进行横向移动，攻击其他系统。由于该漏洞需要管理员权限，因此攻击者通常需要先获得网站的凭据，例如通过暴力破解、钓鱼攻击或利用其他漏洞。

利用背景

该漏洞已公开披露，并且存在公开的利用代码。目前尚不清楚该漏洞是否正在被积极利用，但由于其严重性和易利用性，建议尽快采取缓解措施。该漏洞尚未被添加到CISA KEV目录中。NVD于2024年9月26日发布。

哪些人处于风险中翻译中…

WordPress websites utilizing the Advanced File Manager plugin, particularly those with administrator accounts that have not been secured with strong passwords or multi-factor authentication, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r 'fma_locale' /var/www/html/wp-content/plugins/advanced-file-manager/

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/advanced-file-manager/?fma_locale=../../../../../../etc/passwd' # Check for file disclosure

攻击时间线

2024-09-26Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.49% (66% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件file-manager-advanced

供应商modalweb

影响范围修复版本

* – 5.2.85.2.9

弱点分类 (CWE)

CWE-22

时间线

已保留2024-09-11
发布日期2024-09-26
EPSS 更新日期2026-04-02

未修复 — 披露已605天

缓解措施和替代方案

最有效的缓解措施是立即升级到Advanced File Manager插件的修复版本。如果无法立即升级，可以考虑以下缓解措施：限制上传的文件类型，以防止攻击者上传可执行文件；禁用Advanced File Manager插件的fma_locale参数；使用Web应用程序防火墙（WAF）来阻止恶意请求；监控WordPress网站的日志文件，以检测可疑活动。升级后，请确认漏洞已修复，可以通过尝试包含一个不存在的文件来验证。

修复方法翻译中…

Actualice el plugin Advanced File Manager a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la inclusión de archivos JavaScript locales.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2024-8704 — JavaScript文件包含漏洞在WordPress Advanced File Manager?