平台
wordpress
组件
image-shadow
修复版本
1.1.1
CVE-2025-24765 描述了 Image Shadow WordPress 插件中的路径遍历漏洞。该漏洞允许未经授权的用户通过构造恶意请求访问服务器上的任意文件,可能导致敏感信息泄露。该漏洞影响 Image Shadow 插件的 0.0.0 到 1.1.0 版本。建议用户尽快升级到 1.1.1 版本以修复此安全问题。
攻击者可以利用此路径遍历漏洞读取服务器上的任何文件,包括配置文件、源代码、数据库备份等。如果服务器上存储了敏感信息,攻击者可能会获取这些信息,例如数据库密码、API 密钥、用户凭据等。此外,攻击者还可以利用此漏洞执行恶意代码,例如上传并执行webshell,从而完全控制服务器。该漏洞的潜在影响非常严重,可能导致数据泄露、服务中断甚至服务器被攻陷。
目前尚未公开发现针对此漏洞的利用代码,但由于路径遍历漏洞的普遍性,存在被利用的风险。该漏洞已于 2025 年 6 月 27 日公开披露。建议密切关注安全社区的动态,并及时采取缓解措施。
WordPress websites utilizing the Image Shadow plugin, particularly those running older versions (0.0.0–1.1.0), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/image-shadow/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/image-shadow/../../../../etc/passwd | head -n 1disclosure
漏洞利用状态
EPSS
0.09% (26% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Image Shadow WordPress 插件升级到 1.1.1 版本或更高版本。如果无法立即升级,可以尝试限制 WordPress 插件目录的访问权限,只允许授权用户访问。此外,可以配置 Web 应用防火墙 (WAF) 来检测和阻止恶意请求,例如包含“..”的请求。定期审查 WordPress 插件的安全性,并及时更新到最新版本,可以有效降低安全风险。
Actualice el plugin Image Shadow a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio oficial de WordPress.org.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-24765 是 Image Shadow WordPress 插件中发现的路径遍历漏洞,允许攻击者读取服务器上的任意文件。
如果您正在使用 Image Shadow 插件的版本在 0.0.0 到 1.1.0 之间,则您可能受到此漏洞的影响。
请将 Image Shadow 插件升级到 1.1.1 版本或更高版本。
目前尚未公开发现利用代码,但存在被利用的风险。
请访问 Image Shadow 插件的官方网站或 WordPress 插件目录以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。