平台
wordpress
组件
movie-booking
修复版本
1.1.6
CVE-2025-67963描述了ovatheme Movie Booking插件中的路径遍历漏洞。该漏洞允许未经授权的攻击者访问受限制目录中的任意文件,可能导致敏感信息泄露。该漏洞影响版本从0.0.0到1.1.5。建议立即升级到1.1.6版本以解决此问题。
攻击者可以利用此路径遍历漏洞访问服务器上的任意文件,只要他们能够构造有效的请求。这可能包括读取配置文件、源代码、数据库备份或其他包含敏感信息的私有文件。如果服务器上存储了用户数据,攻击者可能能够访问这些数据,造成严重的隐私泄露。此外,攻击者可能能够利用此漏洞修改或删除文件,从而破坏系统的完整性。由于该漏洞允许访问服务器上的任意文件,因此其潜在影响范围非常广泛。
目前尚未公开发现针对此漏洞的利用代码,但由于路径遍历漏洞的普遍性,存在被利用的风险。该漏洞已于2026年1月22日公开披露。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。
WordPress websites utilizing the Ovatheme Movie Booking plugin, particularly those running versions 0.0.0 through 1.1.5, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable, as are sites with default or weak file permissions.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/movie-booking/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/movie-booking/../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep movie-bookingdisclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将ovatheme Movie Booking插件升级到1.1.6版本或更高版本。如果升级会导致系统不稳定,可以考虑回滚到之前的版本,但请注意这只是临时解决方案。此外,可以配置Web应用防火墙(WAF)或反向代理服务器,以阻止包含恶意路径遍历模式的请求。例如,可以设置规则来过滤包含“../”或“..”的请求。定期审查插件的配置,确保其安全性。
更新到 1.1.6 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-67963描述了ovatheme Movie Booking插件中存在的路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用ovatheme Movie Booking插件的版本在0.0.0到1.1.5之间,则您可能受到此漏洞的影响。
将ovatheme Movie Booking插件升级到1.1.6版本或更高版本以修复此漏洞。
目前尚未公开发现针对此漏洞的利用代码,但存在被利用的风险。
请访问ovatheme官方网站或WordPress插件目录,查找有关CVE-2025-67963的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。