平台
wordpress
组件
aviation-weather-from-noaa
修复版本
0.7.3
CVE-2025-28980 描述了 Aviation Weather from NOAA 应用程序中的路径遍历漏洞。该漏洞允许未经授权的用户访问服务器上的任意文件,可能导致敏感信息泄露或系统被破坏。此漏洞影响 Aviation Weather from NOAA 的 0.0.0 到 0.7.2 版本。已发布补丁版本 0.7.3,建议用户尽快更新。
攻击者可以利用此路径遍历漏洞访问服务器文件系统中的任意文件。这可能包括配置文件、源代码、数据库备份或其他敏感数据。攻击者可以读取这些文件以获取敏感信息,例如用户名、密码、API 密钥或数据库连接字符串。更严重的后果是,攻击者可能利用此漏洞修改或删除文件,从而导致服务中断或数据丢失。由于该漏洞存在于 WordPress 插件中,如果插件配置不当或服务器权限设置不正确,攻击者可能能够进一步提升权限,甚至控制整个服务器。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于该漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。公开的 PoC 尚未发现,但路径遍历漏洞通常容易被利用。
WordPress sites utilizing the Aviation Weather from NOAA plugin, particularly those running older, unpatched versions (0.0.0 - 0.7.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/aviation-weather-from-noaa/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/aviation-weather-from-noaa/../../../../etc/passwd'disclosure
漏洞利用状态
EPSS
0.08% (25% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Aviation Weather from NOAA 升级到 0.7.3 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 WordPress 插件的上传目录权限,确保只有授权用户才能上传文件。实施 Web 应用程序防火墙 (WAF) 规则,以阻止包含路径遍历攻击模式的请求。审查 Aviation Weather from NOAA 的配置,确保没有不必要的权限或敏感信息暴露。定期扫描服务器文件系统,以检测未经授权的访问或文件修改。
Actualice el plugin Aviation Weather from NOAA a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la forma en que el plugin maneja las rutas de archivo, evitando el acceso no autorizado a archivos sensibles.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-28980 是 Aviation Weather from NOAA 应用程序中发现的路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用 Aviation Weather from NOAA 的 0.0.0 到 0.7.2 版本,则可能受到影响。请立即更新。
将 Aviation Weather from NOAA 升级到 0.7.3 或更高版本。
虽然目前尚未观察到大规模利用,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 Aviation Weather from NOAA 的官方网站或 WordPress 插件目录,查找相关安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。