平台
wordpress
组件
seofy-core
修复版本
1.6.9
CVE-2025-39473 描述了 WebGeniusLab Seofy Core 中的路径遍历漏洞,允许攻击者利用PHP本地文件包含 (LFI) 访问服务器上的敏感文件。此漏洞影响 Seofy Core 的 0.0.0 至 1.6.8 版本。建议立即升级至 1.6.11 版本以消除此风险。
攻击者可以利用此路径遍历漏洞读取服务器上的任意文件,包括配置文件、源代码和其他敏感数据。如果攻击者能够访问包含数据库凭据的文件,他们可能能够获得对数据库的未经授权访问,从而导致数据泄露或篡改。此外,攻击者可能能够利用此漏洞执行任意代码,从而完全控制受影响的系统。此漏洞的潜在影响范围广泛,可能导致严重的业务中断和数据损失。
此漏洞已公开披露,且存在利用此漏洞的潜在风险。目前尚无已知的公开利用程序,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。CISA尚未将其添加到KEV目录中。NVD发布日期为2025-06-09。
WordPress websites utilizing the Seofy Core plugin, particularly those running versions 0.0.0 through 1.6.8, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as are sites with legacy configurations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/seofy-core/*• generic web:
curl -I http://example.com/wp-content/plugins/seofy-core/../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.07% (20% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Seofy Core 升级至 1.6.11 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来阻止对受影响文件的访问。此外,应审查 Seofy Core 的配置,以确保其遵循安全最佳实践。如果可能,限制对服务器的访问,只允许授权用户访问。在升级后,请验证漏洞是否已成功修复,例如通过尝试访问受影响的文件并确认访问被拒绝。
更新到 1.6.11 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-39473 描述了 WebGeniusLab Seofy Core (0.0.0–1.6.8) 中的路径遍历漏洞,允许攻击者通过PHP本地文件包含访问服务器上的敏感文件。
如果您正在使用 Seofy Core 的 0.0.0 至 1.6.8 版本,则您可能受到此漏洞的影响。请立即升级至 1.6.11 或更高版本。
最有效的修复方法是升级至 Seofy Core 1.6.11 或更高版本。如果无法升级,请使用 WAF 或审查配置。
虽然目前尚无已知的公开利用程序,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 WebGeniusLab 的官方网站或 Seofy Core 的 GitHub 仓库,查找有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。