HIGHCVE-2025-60242CVSS 7.5

WordPress Download Counter 插件 <= 1.4 - 任意文件下载漏洞

Q: 什么是 CVE-2025-60242 — 路径遍历漏洞在 Anatoly Download Counter 中？

CVE-2025-60242 是 Anatoly Download Counter 组件中的一个路径遍历漏洞，允许攻击者访问服务器上的任意文件。

Q: 我是否受到 CVE-2025-60242 在 Anatoly Download Counter 中影响？

如果您使用的是 Anatoly Download Counter 的 0.0.0 至 1.4 版本，则可能受到此漏洞的影响。

Q: 我如何修复 CVE-2025-60242 在 Anatoly Download Counter 中？

请立即升级到 Anatoly Download Counter 1.4.1 版本以修复此漏洞。

Q: CVE-2025-60242 是否正在被积极利用？

目前尚无公开的漏洞利用代码，但由于路径遍历漏洞的普遍性，预计未来可能会出现。

Q: 在哪里可以找到 Anatoly Download Counter 官方针对 CVE-2025-60242 的公告？

请访问 Anatoly Download Counter 的官方网站或 WordPress 插件目录，查找相关公告。

平台

wordpress

组件

download-counter

修复版本

1.4.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-60242 是 Anatoly Download Counter 组件中的路径遍历漏洞。该漏洞允许未经授权的用户访问服务器上的任意文件，可能导致敏感信息泄露或恶意代码执行。此漏洞影响 Anatoly Download Counter 的 0.0.0 至 1.4 版本，已于 2025 年 11 月 6 日公开。建议用户尽快升级到 1.4.1 版本以修复此安全问题。

影响与攻击场景

攻击者可以利用此路径遍历漏洞，通过构造恶意的 URL 请求，访问服务器文件系统中的任意文件。这可能包括读取配置文件、数据库文件，甚至执行服务器上的恶意代码。如果服务器上存储了敏感信息，例如用户凭据、API 密钥或商业机密，攻击者可能会窃取这些信息。此外，攻击者还可以利用此漏洞修改或删除服务器上的文件，导致服务中断或数据丢失。由于 Anatoly Download Counter 广泛应用于 WordPress 网站，因此此漏洞可能影响大量网站的安全。

利用背景

目前尚无公开的漏洞利用代码 (PoC)，但由于路径遍历漏洞的普遍性，预计未来可能会出现。该漏洞已添加到 CISA KEV 目录，表明其具有中等概率被利用。建议密切关注安全社区的动态，及时获取最新的漏洞信息。

哪些人处于风险中翻译中…

WordPress sites utilizing the Anatoly Download Counter plugin, particularly those running older versions (0.0.0–1.4), are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/download-counter/

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/download-counter/download.php?file=../../../../etc/passwd' # Check for file disclosure

攻击时间线

2025-11-06Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.09% (25% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件download-counter

供应商Anatoly

影响范围修复版本

0 – 1.41.4.1

弱点分类 (CWE)

CWE-22

时间线

已保留2025-09-25
发布日期2025-11-06
修改日期2026-04-28
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即升级到 Anatoly Download Counter 1.4.1 版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 WordPress 网站的文件上传权限，确保用户无法上传任意文件；使用 Web 应用防火墙 (WAF) 过滤掉包含路径遍历攻击模式的请求；审查 Anatoly Download Counter 的配置文件，确保没有敏感信息泄露；监控服务器的访问日志，查找可疑的访问行为。升级后，请确认 Anatoly Download Counter 版本已成功升级到 1.4.1。

修复方法翻译中…

Actualice el plugin Download Counter a la última versión disponible para corregir la vulnerabilidad de recorrido de directorio.  Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador.  Implemente medidas de seguridad adicionales, como limitar los permisos de archivo y directorio, para mitigar el riesgo.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-60242 — 路径遍历漏洞在 Anatoly Download Counter 中？