Event Manager, Events Calendar, Tickets, Registrations – Eventin <= 4.0.24 - 认证 (贡献者+) 本地文件包含 (Local File Inclusion)

该LFI漏洞的潜在影响非常严重。攻击者可以利用此漏洞包含并执行任意PHP代码，从而完全控制受影响的WordPress站点。这可能导致数据泄露，恶意软件植入，甚至整个服务器的控制权被夺取。攻击者可以利用此漏洞读取敏感配置文件，修改数据库内容，或者上传并执行恶意脚本。由于攻击者只需要贡献者级别的权限，因此攻击面相对较广，潜在受害者数量众多。该漏洞的利用方式类似于其他LFI漏洞，攻击者可以通过精心构造的URL参数来控制包含的文件路径。

WordPress websites utilizing the Eventin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configurations are also at increased risk, as are websites with legacy Eventin plugin versions that are no longer actively maintained.

• wordpress / composer / npm:

grep -r 'style=../../' /var/www/html/wp-content/plugins/eventin/

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/eventin/?style=../../../../etc/passwd' # Check for file disclosure

1. 2025-03-20Disclosure

   Public disclosure

1. 已保留2025-02-28
2. 发布日期2025-03-20
3. 修改日期2026-04-08
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即升级Eventin WordPress插件到修复版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，限制上传文件的类型，只允许安全的文件类型，并禁用对上传文件的直接访问。其次，实施严格的访问控制策略，确保只有授权用户才能访问敏感文件和目录。第三，使用Web应用防火墙（WAF）来检测和阻止恶意请求。第四，定期审查WordPress插件的配置，确保没有不必要的权限或配置错误。升级后，请验证插件是否已成功更新，并检查服务器日志中是否有任何异常活动。

活跃安装数

10K已知

插件评分

4.6

需要WordPress版本

6.2+

兼容至

6.9.4

需要PHP版本

7.4+