平台
wordpress
组件
houzez-property-feed
修复版本
2.5.4
CVE-2025-30793 是一个路径遍历漏洞,影响到 Houzez Property Feed 插件。该漏洞允许未经授权的用户访问服务器上的任意文件,可能导致敏感信息泄露或恶意代码执行。受影响的版本包括 0 到 2.5.4。已发布补丁,建议立即升级。
攻击者可以利用此路径遍历漏洞,通过构造恶意的URL请求,访问服务器文件系统中的敏感文件,例如配置文件、源代码或用户数据。这可能导致信息泄露,例如数据库凭据、API 密钥或个人身份信息。更严重的攻击者可能利用此漏洞上传恶意文件,并执行任意代码,从而完全控制受影响的网站。由于该漏洞允许访问任意文件,因此其影响范围可能非常广泛,取决于服务器配置和存储的文件。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。
WordPress sites using the Houzez Property Feed plugin, particularly those running older versions (0.0 - 2.5.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to access to files on other sites.
• wordpress / composer / npm:
grep -r "../" /var/www/html/houzez-property-feed/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/houzez-property-feed/../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.50% (66% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Houzez Property Feed 插件升级到 2.5.4 或更高版本。如果无法立即升级,可以尝试使用 Web 应用防火墙 (WAF) 规则来阻止对潜在危险文件的访问。此外,应审查服务器配置,确保文件权限设置正确,限制对敏感文件的访问。监控服务器日志,查找可疑的文件访问尝试,并实施入侵检测系统 (IDS) 来检测和响应潜在的攻击。
Actualice el plugin Houzez Property Feed a la versión 2.5.4 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización aborda la falta de restricciones en la ruta del archivo, previniendo el acceso no autorizado a archivos sensibles en el servidor.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-30793 是一个路径遍历漏洞,影响到 Houzez Property Feed 插件,允许攻击者访问服务器上的任意文件。
如果您的 Houzez Property Feed 插件版本低于 2.5.4,则您可能受到影响。请立即检查您的插件版本。
将 Houzez Property Feed 插件升级到 2.5.4 或更高版本。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 Houzez 官方网站或查阅他们的安全公告页面,以获取有关 CVE-2025-30793 的官方信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。