平台
wordpress
组件
wpevently
修复版本
4.2.10
CVE-2025-30895 描述了WpEvently WordPress插件中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求,包含位于受限目录之外的文件,从而可能导致敏感信息泄露或代码执行。该漏洞影响WpEvently插件的0.0.0至4.2.9版本。建议用户尽快升级至4.2.10版本以消除风险。
攻击者可以利用此路径遍历漏洞读取服务器上的任意文件,包括配置文件、源代码和其他敏感数据。如果攻击者能够读取包含数据库凭证或其他敏感信息的配置文件,他们可以进一步访问数据库或执行其他恶意操作。此外,攻击者可能能够包含恶意PHP文件,从而在受害网站上执行任意代码,导致网站被完全控制。这种攻击模式类似于其他文件包含漏洞,可能导致严重的系统安全事件。
该漏洞已公开披露,且存在利用的可能性。目前尚未观察到大规模的利用活动,但由于该漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞已添加到CISA KEV目录中,表明其具有较高的安全风险。
Websites using the WpEvently plugin, particularly those running older versions (0.0.0–4.2.9), are at risk. Shared hosting environments are particularly vulnerable as they often have limited access controls and a higher concentration of vulnerable plugins.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-evently/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-evently/../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.20% (42% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将WpEvently插件升级至4.2.10版本或更高版本。如果无法立即升级,可以考虑临时禁用该插件以降低风险。此外,可以配置Web应用防火墙(WAF)以阻止包含恶意路径字符的请求。检查WpEvently插件的配置文件,确保其权限设置正确,并且只允许插件访问其需要的文件。监控服务器日志,查找任何可疑的文件访问尝试。
Actualice el plugin WpEvently a la última versión disponible para mitigar la vulnerabilidad de inyección de objetos PHP. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Considere implementar medidas de seguridad adicionales, como limitar el acceso a archivos sensibles y validar las entradas del usuario.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-30895描述了WpEvently WordPress插件中的路径遍历漏洞,攻击者可利用此漏洞包含服务器上的任意文件。
如果您正在使用WpEvently插件的版本低于4.2.10,则您可能受到此漏洞的影响。
升级WpEvently插件至4.2.10或更高版本以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问WpEvently官方网站或GitHub仓库,查找有关CVE-2025-30895的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。