平台
wordpress
组件
wp-businessdirectory
修复版本
3.1.3
CVE-2025-32629 描述了CMSJunkie WordPress Business Directory插件WP-BusinessDirectory中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求访问服务器上的任意文件,可能导致敏感信息泄露。此漏洞影响WP-BusinessDirectory插件的0.0.0到3.1.2版本。建议用户尽快升级至3.1.3版本以修复此安全问题。
攻击者利用此路径遍历漏洞可以读取服务器上的任何文件,包括配置文件、源代码、数据库备份等。如果服务器上存储了敏感信息,例如数据库密码、API密钥等,攻击者可能会获取这些信息并进行进一步的攻击。此外,攻击者还可以通过读取服务器上的其他文件来了解服务器的配置和架构,从而为后续的攻击做准备。该漏洞的潜在影响包括敏感信息泄露、系统权限提升、甚至可能导致服务器被完全控制。
该漏洞已公开披露,且CVSS评分为高危。目前尚未观察到大规模的利用活动,但由于该漏洞的易利用性,预计未来可能会被攻击者利用。建议密切关注安全社区的动态,及时采取必要的安全措施。
Websites using the WP-BusinessDirectory plugin, particularly those running older versions (0.0.0–3.1.2), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and file permissions. Administrators who haven't recently updated their plugins or implemented robust security measures are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-businessdirectory/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-businessdirectory/../../../../etc/passwd' # Attempt to access a sensitive filedisclosure
漏洞利用状态
EPSS
0.38% (59% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将WP-BusinessDirectory插件升级至3.1.3版本或更高版本。如果无法立即升级,可以尝试限制插件的访问权限,例如将插件所在的目录设置为只读。此外,还可以使用Web应用防火墙(WAF)来过滤恶意请求,阻止攻击者利用路径遍历漏洞。建议定期审查插件的配置,确保其安全性。
Actualice el plugin WP-BusinessDirectory a la última versión disponible para solucionar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-32629描述了CMSJunkie WP-BusinessDirectory插件中的路径遍历漏洞,攻击者可利用该漏洞读取服务器上的任意文件。
如果您正在使用WP-BusinessDirectory插件的版本低于3.1.3,则可能受到此漏洞的影响。
升级WP-BusinessDirectory插件至3.1.3版本或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于该漏洞的易利用性,预计未来可能会被攻击者利用。
请访问CMSJunkie官方网站或WordPress插件目录查找相关公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。