WordPress DyaPress ERP/CRM 插件 <= 18.0.2.0 - 本地文件包含漏洞

攻击者可以利用此路径遍历漏洞，通过构造恶意请求，访问服务器上的任意文件。这可能导致敏感信息泄露，例如配置文件、数据库凭据、源代码等。攻击者甚至可能利用 LFI 执行任意代码，从而完全控制受影响的系统。由于该漏洞允许本地文件包含，因此攻击者需要先获得对系统的某种访问权限，例如通过 Web 界面或已知的漏洞。

Organizations using DyaPress ERP/CRM, particularly those with older versions (0.0.0–18.0.2.0) and those with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one DyaPress ERP/CRM instance could potentially affect other tenants.

• wordpress / composer / npm:

grep -r "../" /var/www/dyapress/

• generic web:

curl -I http://your-dyapress-server.com/../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list --all | grep dyapress

1. 2025-04-10Disclosure

   disclosure

1. 已保留2025-03-24
2. 发布日期2025-04-10
3. 修改日期2026-04-28
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即将 DyaPress ERP/CRM 升级至 18.0.3 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 Web 服务器的访问权限，只允许访问必要的目录；实施严格的文件访问控制，确保用户只能访问其授权的文件；使用 Web 应用防火墙 (WAF) 过滤恶意请求，阻止路径遍历攻击；监控系统日志，检测可疑活动。升级后，请验证文件访问控制是否已正确配置，并确认漏洞已成功修复。