平台
wordpress
组件
fw-food-menu
修复版本
6.0.1
CVE-2025-49447 describes an Arbitrary File Access vulnerability within the FW Food Menu component developed by Fastw3b LLC. This flaw enables unauthorized users to upload files of any type, regardless of intended restrictions, potentially leading to severe consequences. The vulnerability impacts versions of FW Food Menu prior to 6.0.1. A patch is available in version 6.0.1.
FW Food Menu中的CVE-2025-49447漏洞允许不受限制的文件上传,包括危险文件类型的文件。这意味着攻击者可以通过插件的文件上传功能上传恶意文件,例如PHP脚本、可执行文件或包含恶意代码的文件。由于缺乏适当的文件类型验证,因此可以利用此漏洞。如果攻击者成功上传并执行恶意文件,他们可能会破坏网站安全,从而能够在服务器上执行任意代码、窃取敏感数据、修改内容或完全控制网站。由于FW Food Menu插件被广泛使用,因此此漏洞尤其严重,这意味着许多网站可能存在漏洞。CVSS评分10.0表示严重程度为关键。
攻击者可以通过发送包含伪装为允许文件类型的恶意文件的HTTP请求来利用此漏洞。服务器端缺乏验证允许在没有验证的情况下上传文件。上传后,攻击者可能会根据Web服务器的配置尝试通过URL访问文件。如果服务器配置为执行PHP脚本,则攻击者可能会执行恶意文件,从而获得对网站的控制权。漏洞利用的复杂性较低,因为它不需要高级技术技能。由于插件的广泛采用以及漏洞的容易性,因此漏洞利用的可能性很高。
漏洞利用状态
EPSS
0.10% (29% 百分位)
CISA SSVC
CVSS 向量
减轻此漏洞的解决方案是更新到FW Food Menu的6.0.1或更高版本。此版本包含修复程序,可在允许上传之前正确验证文件类型。如果无法立即更新,建议实施其他安全措施,例如通过服务器权限限制对文件上传目录的访问、使用Web应用程序防火墙(WAF)来过滤恶意文件以及监控服务器日志以查找可疑活动。应执行全面的网站安全审计,以识别和修复任何其他潜在漏洞。应尽快执行更新,以最大程度地降低漏洞利用的风险。
Actualice el plugin FW Food Menu a la última versión disponible para solucionar la vulnerabilidad de subida de archivos arbitrarios. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVSS评分10.0是CVSS量表上的最高分,表明存在需要立即关注的关键漏洞。
实施其他安全措施,例如限制对上传目录的访问以及使用WAF。
检查您使用的FW Food Menu版本。如果版本早于6.0.1,则容易受到攻击。
有一些漏洞扫描器可以检测此漏洞。请咨询您的安全提供商。
可以上传PHP文件、可执行文件以及包含恶意代码的任何文件。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。