平台
wordpress
组件
wp-all-import-pro
修复版本
4.9.4
CVE-2024-9624描述了WordPress插件WP All Import Pro中的服务器端请求伪造(SSRF)漏洞。该漏洞允许经过身份验证的攻击者(具有管理员级别权限及以上)发起任意Web请求,从而可能访问内部服务或读取敏感信息。该漏洞影响所有版本4.9.3及更早的版本。建议用户尽快升级到最新版本以缓解风险。
该SSRF漏洞的潜在影响非常严重。攻击者可以利用它来扫描内部网络,发现隐藏的服务和应用程序。在云环境中,攻击者可能能够读取云实例的元数据,从而获取敏感信息,例如API密钥、凭据和配置数据。这可能导致数据泄露、权限提升以及对整个WordPress站点的控制。由于该漏洞需要管理员权限,因此攻击者必须首先获得对WordPress站点的访问权限,但一旦获得,后果将不堪设想。类似SSRF漏洞可能被用于绕过防火墙和安全策略,从而访问受保护的资源。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于该漏洞的严重性和易利用性,预计未来可能会被积极利用。该漏洞尚未被添加到CISA KEV目录中。建议用户密切关注安全社区的动态,并及时采取措施来保护自己的WordPress站点。
WordPress websites utilizing the WP All Import Pro plugin, particularly those running versions prior to 4.9.3, are at risk. Websites hosted on cloud platforms (AWS, Google Cloud, Azure) are especially vulnerable due to the potential for attackers to access cloud metadata. Sites with weak password policies or compromised administrator accounts are also at higher risk.
• wordpress / plugin:
grep -r 'pmxi_curl_download' /var/www/html/wp-content/plugins/wp-all-import-pro/• wordpress / plugin:
wp plugin list | grep 'wp-all-import-pro'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-all-import-pro/ | grep Server• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-all-import-pro/ | grep X-Powered-Bydisclosure
漏洞利用状态
EPSS
0.30% (54% 百分位)
CISA SSVC
CVSS 向量
目前,官方已发布修复版本,建议用户立即升级到最新版本。如果无法立即升级,可以考虑以下缓解措施:限制WP All Import Pro插件的网络访问权限,例如使用防火墙或代理服务器来阻止对外部资源的访问。此外,可以审查插件的配置,确保没有暴露任何不必要的内部服务。监控WP All Import Pro插件的日志,查找任何可疑的请求或活动。如果无法升级,可以尝试使用WordPress的安全插件来限制插件的功能,但请注意,这可能影响插件的正常使用。
将 WP All Import Pro 插件更新到最新可用版本。SSRF 漏洞允许经过身份验证的攻击者从服务器向任意位置发起网络请求,这可能会危及应用程序和内部服务的安全性。更新修复了 pmxi_curl_download 函数中的 SSRF 保护缺失。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-9624描述了WordPress插件WP All Import Pro中存在的服务器端请求伪造(SSRF)漏洞,允许攻击者发起任意Web请求。
如果您正在使用WP All Import Pro插件的版本4.9.3及更早版本,则可能受到影响。请立即检查您的插件版本。
建议立即升级到最新版本。请访问插件的官方网站或WordPress插件目录下载最新版本。
目前尚未观察到大规模的利用活动,但由于该漏洞的严重性和易利用性,预计未来可能会被积极利用。
请访问WP All Import Pro的官方网站或WordPress插件目录,查找相关的安全公告和更新说明。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。