WordPress PT Luxa Addons 插件 <= 1.2.2 - 任意文件删除漏洞

攻击者可以利用此路径遍历漏洞访问服务器上的任意文件，包括配置文件、源代码、数据库备份等。如果攻击者能够访问敏感文件，可能会泄露数据库密码、API 密钥或其他敏感信息，从而导致数据泄露、身份盗窃或进一步的攻击。此外，攻击者还可能利用此漏洞修改服务器上的文件，从而篡改网站内容或植入恶意代码，导致网站被劫持或用户受到恶意软件感染。由于 WordPress 插件的广泛使用，该漏洞可能影响大量网站，造成广泛的安全风险。

Websites utilizing the ypromo PT Luxa Addons plugin, particularly those running older, unpatched versions (0.0.0–1.2.2), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/pt-luxa-addons/*

• generic web:

curl -I https://example.com/wp-content/plugins/pt-luxa-addons/../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list | grep 'pt-luxa-addons'

• wordpress / composer / npm:

wp plugin update pt-luxa-addons

1. 2025-10-22Disclosure

   disclosure

1. 已保留2025-09-25
2. 发布日期2025-10-22
3. 修改日期2026-04-28
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即将 PT Luxa Addons 升级至 1.2.3 或更高版本。如果无法立即升级，可以尝试限制 WordPress 插件的上传目录权限，并禁用不必要的插件。此外，可以配置 Web 应用防火墙 (WAF) 来检测和阻止包含路径遍历攻击模式的请求。监控服务器的访问日志，查找可疑的文件访问尝试，并及时采取措施。