平台
wordpress
组件
filester
修复版本
1.8.6
1.8.6
File Manager Pro – Filester WordPress插件存在本地JavaScript文件包含漏洞(LFI),允许具有管理员级别或更高权限的认证攻击者利用'fm_locale'参数包含并执行服务器上的任意文件。此漏洞可能导致绕过访问控制、获取敏感数据或在上传和包含图像等“安全”文件类型的情况下实现代码执行。受影响的版本包括1.8.5及更早版本,已在1.8.6版本中部分修复。
该漏洞允许攻击者通过包含任意文件来执行恶意代码。攻击者可以利用此漏洞读取服务器上的敏感文件,例如配置文件、数据库凭证或源代码。更严重的是,攻击者可以上传恶意脚本,并通过文件包含将其执行,从而完全控制受影响的WordPress站点。攻击者可以利用此漏洞进行横向移动,访问其他服务器或服务,并窃取敏感数据。由于该漏洞需要管理员权限,因此攻击者必须首先获得对WordPress站点的访问权限。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于该漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到CISA KEV目录中。公开的PoC可能存在。
WordPress websites utilizing the Filester plugin, particularly those with administrator accounts that have not been secured with strong passwords and multi-factor authentication, are at risk. Shared hosting environments where plugin updates are not managed centrally are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'fm_locale' /var/www/html/wp-content/plugins/filester/• wordpress / composer / npm:
wp plugin list --status=all | grep filester• wordpress / composer / npm:
wp plugin update filester --alldisclosure
漏洞利用状态
EPSS
0.13% (32% 百分位)
CISA SSVC
CVSS 向量
立即升级到File Manager Pro – Filester 1.8.6或更高版本以修复此漏洞。如果无法立即升级,可以尝试限制对'fm_locale'参数的访问,并验证其输入。实施Web应用防火墙(WAF)规则,以阻止包含恶意代码的文件包含尝试。定期扫描WordPress插件是否存在已知漏洞,并及时更新。
更新到 1.8.6 版本,或更新的已修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-9669是File Manager Pro – Filester WordPress插件中的一个本地JavaScript文件包含漏洞,允许攻击者包含并执行服务器上的任意文件。
如果您正在使用File Manager Pro – Filester插件的1.8.5或更早版本,则您可能受到此漏洞的影响。
立即升级到File Manager Pro – Filester 1.8.6或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于该漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问File Manager Pro – Filester的官方网站或WordPress插件目录以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。