WordPress Easy Video Player Wordpress & WooCommerce 插件 <= 10.0 - 任意文件下载漏洞

攻击者可以利用此路径遍历漏洞访问服务器上的任何文件，只要他们能够向 Easy Video Player WordPress & WooCommerce 发送恶意构造的请求。这可能包括读取配置文件、源代码、数据库备份或其他包含敏感信息的私有文件。攻击者还可以利用此漏洞修改服务器上的文件，从而导致服务中断或恶意代码植入。如果服务器运行在共享主机环境中，则此漏洞可能影响同一服务器上的其他网站和应用程序。此漏洞的潜在影响范围取决于服务器上存储的数据类型和敏感程度。

WordPress websites utilizing the Easy Video Player Wordpress & WooCommerce plugin, particularly those running older, unpatched versions (0.0.0–10.0), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/easy-video-player-woocommerce/

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/easy-video-player-woocommerce/../../../../etc/passwd' # Check for file disclosure

1. 2025-07-16Disclosure

   disclosure

1. 已保留2025-03-11
2. 发布日期2025-07-16
3. 修改日期2026-04-28
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即将 Easy Video Player WordPress & WooCommerce 升级至 10.0.1 版本或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 Easy Video Player WordPress & WooCommerce 插件的访问权限，只允许必要的用户访问。实施 Web 应用防火墙 (WAF) 规则，以阻止包含路径遍历攻击模式的请求。审查服务器上的文件权限，确保敏感文件受到保护。监控 Easy Video Player WordPress & WooCommerce 的日志文件，查找可疑活动。升级后，请验证漏洞是否已成功修复，例如通过尝试访问受保护的文件并确认访问被拒绝。