平台
wordpress
组件
xlsx-viewer
修复版本
2.1.2
CVE-2025-23562 描述了 XLSXviewer 中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求访问受限制目录以外的文件,可能导致敏感信息泄露或系统被破坏。此问题影响 XLSXviewer 的 0.0.0 至 2.1.1 版本。建议立即升级至 2.1.2 版本以消除此风险。
攻击者可以利用此路径遍历漏洞访问 XLSXviewer 进程具有读取权限的任何文件。这可能包括配置文件、数据库备份、甚至其他应用程序的数据。攻击者可以利用这些信息来获取敏感凭据、修改系统配置或执行其他恶意操作。例如,如果 XLSXviewer 运行在共享主机环境中,攻击者可能能够访问其他网站的数据。该漏洞的潜在影响范围取决于 XLSXviewer 运行环境和访问权限。
目前尚无公开的利用程序 (PoC),但该漏洞的严重性表明它可能成为攻击者的目标。该漏洞已于 2025 年 1 月 22 日公开,CISA 尚未将其添加到 KEV 目录。由于其高危评级和路径遍历漏洞的常见性,建议密切关注该漏洞的动态。
WordPress websites utilizing the XLSXviewer plugin, particularly those running older, unpatched versions (0.0.0–2.1.1), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Websites that process user-supplied data without proper sanitization are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xlsx-viewer/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/xlsx-viewer/../../../../etc/passwd' # Check for file accessdisclosure
漏洞利用状态
EPSS
0.26% (49% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 XLSXviewer 升级至 2.1.2 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 XLSXviewer 进程的访问权限,使其只能访问必要的文件。实施 Web 应用程序防火墙 (WAF) 规则,以阻止包含路径遍历攻击模式的请求。审查 XLSXviewer 的配置文件,确保没有敏感信息暴露在可访问的目录中。在 WordPress 环境中,确保文件权限设置正确,防止未经授权的访问。
Actualice el plugin XLSXviewer a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-23562 描述了 XLSXviewer 0.0.0–2.1.1 版本中的路径遍历漏洞,攻击者可利用此漏洞访问受限制目录以外的文件。
如果您正在使用 XLSXviewer 的 0.0.0 至 2.1.1 版本,则您可能受到此漏洞的影响。请立即升级至 2.1.2 或更高版本。
最有效的修复方法是升级 XLSXviewer 至 2.1.2 或更高版本。如果无法立即升级,请实施临时缓解措施,例如限制文件访问权限。
目前尚无公开的利用程序,但由于其高危评级,建议密切关注该漏洞的动态。
请查阅 XLSXviewer 官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。