倒计时、即将推出、维护 – 倒计时 & 时钟 <= 2.8.9.1 - 未认证的有限本地文件包含

此LFI漏洞的潜在影响非常严重。攻击者可以利用此漏洞包含并执行任意PHP代码，从而完全控制受影响的WordPress站点。攻击者可以读取敏感文件，例如数据库凭据、配置文件和用户数据。更严重的是，攻击者可以利用此漏洞上传恶意文件，执行恶意代码，并最终控制整个服务器。由于该漏洞无需身份验证，攻击者可以轻松地利用它，从而导致大规模的破坏和数据泄露。此漏洞的严重程度类似于其他已知的WordPress插件漏洞，可能导致网站被完全劫持。

Websites utilizing the Countdown, Coming Soon, Maintenance – Countdown & Clock plugin, particularly those running older, unpatched versions (0.0.0–2.8.9.1), are at significant risk. Shared hosting environments where WordPress installations have limited access controls are also particularly vulnerable.

• wordpress / composer / npm:

grep -r 'createCdObj' /var/www/html/wp-content/plugins/countdown-coming-soon-maintenance-countdown-clock/

• wordpress / composer / npm:

wp plugin list | grep 'Countdown, Coming Soon, Maintenance'

• wordpress / composer / npm:

wp plugin update countdown-coming-soon-maintenance-countdown-clock

1. 2025-04-04Disclosure

   disclosure

1. 已保留2025-03-12
2. 发布日期2025-04-04
3. 修改日期2026-04-08
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即将Countdown WordPress插件升级到2.8.10版本或更高版本。如果升级会导致网站中断，可以考虑回滚到之前的稳定版本，但请注意这只是临时解决方案。此外，可以实施一些额外的安全措施来降低风险。例如，可以使用Web应用防火墙（WAF）来阻止对createCdObj函数的恶意请求。还可以审查插件的配置文件，确保没有暴露敏感信息。最后，定期扫描WordPress站点，以检测潜在的入侵迹象。

活跃安装数

10K已知

插件评分

4.7

需要WordPress版本

3.8+

兼容至

6.9.4

需要PHP版本

5.3+