平台
wordpress
组件
lbg-cleverbakery
修复版本
2.5.4
CVE-2025-31070 描述了 HTML5 Radio Player - WPBakery Page Builder Addon 中的路径遍历漏洞。该漏洞允许未经授权的用户访问服务器上的任意文件,可能导致敏感信息泄露或恶意代码执行。此漏洞影响 HTML5 Radio Player - WPBakery Page Builder Addon 的 0.0.0 至 2.5 版本。已发布补丁版本 2.5.4,建议立即更新。
攻击者可以利用此路径遍历漏洞,通过构造恶意的 URL 请求,访问服务器文件系统中的敏感文件,例如配置文件、源代码、数据库备份等。这可能导致信息泄露、身份盗用、甚至远程代码执行。如果服务器上存储了用户数据,攻击者可能能够获取用户的个人信息、密码等敏感数据。由于该漏洞允许访问任意文件,攻击者的潜在影响范围非常广泛,可能导致整个系统的安全受到威胁。
目前尚未公开发现针对此漏洞的利用代码,但由于路径遍历漏洞的普遍性,存在被利用的风险。该漏洞已于 2025 年 7 月 16 日公开披露。建议密切关注安全社区的动态,及时获取最新的威胁情报。
WordPress websites utilizing the HTML5 Radio Player - WPBakery Page Builder Addon, particularly those running older versions (0.0.0–2.5), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/lbg-cleverbakery/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/lbg-cleverbakery/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.08% (23% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 HTML5 Radio Player - WPBakery Page Builder Addon 升级至 2.5.4 版本或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制对插件的访问权限,使用 Web 应用防火墙 (WAF) 过滤恶意请求,并定期检查服务器上的文件完整性。此外,应确保 WordPress 核心和所有其他插件都保持最新状态,以减少潜在的安全风险。升级后,请验证插件功能是否正常,并检查服务器日志是否存在异常活动。
Actualice el plugin HTML5 Radio Player - WPBakery Page Builder Addon a la versión 2.5.4 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la forma en que el plugin maneja las rutas de archivos, evitando el acceso no autorizado a archivos sensibles.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-31070 描述了 HTML5 Radio Player - WPBakery Page Builder Addon 中的路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您的 WordPress 网站使用了 HTML5 Radio Player - WPBakery Page Builder Addon 的 0.0.0 至 2.5 版本,则可能受到影响。
立即将 HTML5 Radio Player - WPBakery Page Builder Addon 升级至 2.5.4 版本或更高版本。
目前尚未公开发现针对此漏洞的利用代码,但存在被利用的风险。
请访问 LambertGroup 官方网站或 WordPress 插件目录查找相关安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。