平台
wordpress
组件
workreap
修复版本
3.3.6
CVE-2025-59566是一个路径遍历漏洞,影响AmentoTech开发的Workreap WordPress插件。该漏洞允许攻击者通过构造恶意请求访问服务器上的任意文件,可能导致敏感信息泄露或恶意代码执行。受影响的版本包括0.0.0到3.3.5。该漏洞已于3.3.6版本中修复,建议用户尽快升级。
攻击者可以利用此路径遍历漏洞访问服务器文件系统中的敏感数据,例如配置文件、数据库凭证、源代码等。攻击者还可以通过读取或修改这些文件来篡改网站内容、植入恶意代码,甚至完全控制服务器。由于Workreap插件通常用于管理和展示项目信息,因此该漏洞可能导致项目数据泄露,对企业声誉和业务运营造成严重影响。该漏洞的潜在影响范围取决于服务器配置和插件的使用方式,如果服务器配置不当或插件与其他组件存在交互,则可能导致更广泛的损害。
该漏洞已公开披露,存在公开的PoC代码。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到CISA KEV目录。NVD发布日期为2025年10月22日。
WordPress websites utilizing the Workreap plugin, particularly those running older versions (0.0.0–3.3.5), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable, as are websites with limited security configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/workreap/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/workreap/wp-content/../etc/passwd' # Attempt path traversaldisclosure
漏洞利用状态
EPSS
0.07% (20% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将Workreap WordPress插件升级到3.3.6或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,限制插件的访问权限,只允许其访问必要的文件和目录。其次,配置Web服务器,阻止对敏感文件的直接访问。第三,使用Web应用防火墙(WAF)来检测和阻止恶意请求。最后,定期检查插件的日志文件,以查找可疑活动。升级后,请确认漏洞已修复,可以通过尝试访问受保护的文件来验证。
Actualice el plugin Workreap a una versión posterior a 3.3.5 para mitigar la vulnerabilidad de recorrido de ruta. Verifique la página del plugin en WordPress.org para obtener la última versión disponible y siga las instrucciones de actualización proporcionadas por el desarrollador.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-59566是一个路径遍历漏洞,影响AmentoTech开发的Workreap WordPress插件。攻击者可以通过构造恶意请求访问服务器上的任意文件。
如果您正在使用Workreap WordPress插件的版本在0.0.0到3.3.5之间,则可能受到影响。请立即升级到3.3.6或更高版本。
将Workreap WordPress插件升级到3.3.6或更高版本。如果无法升级,请采取临时缓解措施,如限制插件访问权限和配置WAF。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问AmentoTech的官方网站或WordPress插件目录,查找关于CVE-2025-59566的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。