平台
wordpress
组件
wplms_plugin
修复版本
1.9.10
CVE-2025-69097 描述了WPLMS WordPress插件中的路径遍历漏洞。该漏洞允许未经授权的用户通过构造恶意URL访问服务器上的任意文件,可能导致敏感信息泄露或系统被篡改。该漏洞影响WPLMS插件的版本从0.0.0到1.9.9.5.4。建议用户尽快升级到最新版本以修复此漏洞。
攻击者可以利用此路径遍历漏洞访问服务器上的任何文件,只要他们能够构造一个有效的URL。这可能包括配置文件、源代码、数据库备份或其他包含敏感信息的私有文件。攻击者还可以利用此漏洞来执行任意代码,例如通过上传恶意文件并将其执行。如果攻击者能够访问数据库备份,他们可能能够恢复到之前的状态,从而破坏数据完整性。由于WPLMS插件广泛应用于WordPress网站,因此该漏洞的潜在影响范围非常广泛。
目前尚未公开发现针对此漏洞的利用代码,但由于路径遍历漏洞的普遍性,存在被利用的风险。该漏洞已于2026年1月22日公开披露。建议密切关注安全社区的动态,以获取最新的威胁情报。由于该漏洞影响WordPress插件,可能存在供应链攻击的风险。
Websites using WPLMS plugin versions 0.0.0 through 1.9.9.5.4 are at risk. Shared hosting environments are particularly vulnerable, as they often have limited control over file permissions and server configurations. WordPress sites with default or weak security settings are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wplms/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/wplms/path/to/file..%2e%2e/sensitive_file.txt"disclosure
漏洞利用状态
EPSS
0.03% (7% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到修复后的WPLMS版本。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以配置Web服务器或WAF(Web Application Firewall)来阻止对敏感文件的访问。还可以限制WPLMS插件的权限,使其只能访问必要的文件和目录。此外,定期审查WPLMS插件的配置,确保其安全性。升级后,请验证文件权限是否正确设置,并检查服务器日志中是否存在异常活动。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-69097描述了WPLMS WordPress插件中的路径遍历漏洞,允许攻击者访问服务器上的敏感文件。
如果您正在使用WPLMS插件的版本在0.0.0–1.9.9.5.4之间,则可能受到影响。
建议升级到修复后的WPLMS版本。
目前尚未公开发现利用代码,但存在被利用的风险。
请访问WPLMS官方网站或WordPress插件目录,查找相关的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。