平台
wordpress
组件
addons-for-elementor
修复版本
9.0.1
9.0.1
CVE-2026-1620 描述了 WordPress 插件 Livemesh Addons for Elementor 中的目录遍历漏洞。该漏洞源于 laegettemplate_part() 函数中对模板名称参数的验证不足,攻击者可以利用此漏洞包含并执行服务器上的任意文件。该漏洞影响所有版本,包括 9.0 版本。建议尽快更新到修复版本或采取缓解措施。
该目录遍历漏洞允许具有 Contributor 级别或更高权限的认证攻击者,通过组件的模板参数包含并执行本地文件。攻击者可以利用此漏洞读取敏感文件,例如数据库配置文件、源代码,甚至执行任意代码。如果攻击者能够执行代码,他们可以完全控制受影响的 WordPress 站点,包括修改内容、窃取用户数据、安装恶意软件,甚至利用该站点发起进一步的攻击。这种漏洞的潜在影响非常严重,可能导致数据泄露、服务中断和声誉损害。
该漏洞已于 2026 年 4 月 16 日公开披露。目前尚无公开的漏洞利用程序 (POC),但由于该漏洞的严重性和易利用性,预计未来可能会出现。建议密切关注安全社区的动态,并及时采取必要的安全措施。目前未出现在 KEV 或 EPSS 列表中,但由于漏洞的严重性,应将其视为中等概率的威胁。
漏洞利用状态
EPSS
0.08% (24% 百分位)
CISA SSVC
CVSS 向量
目前,官方尚未发布修复版本。作为临时缓解措施,建议禁用 Livemesh Addons for Elementor 插件。如果必须使用该插件,请确保对 WordPress 站点的访问权限进行严格控制,仅允许授权用户访问。此外,可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止目录遍历攻击。WAF 规则应配置为阻止对包含 ../ 等目录遍历模式的请求。定期审查 WordPress 站点的配置,确保所有文件权限设置正确。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-1620 是 WordPress 插件 Livemesh Addons for Elementor 中发现的目录遍历漏洞,允许攻击者包含并执行服务器上的任意文件,造成严重安全风险。
如果您正在使用 Livemesh Addons for Elementor 插件,并且版本低于 9.0,则可能受到此漏洞的影响。请立即检查您的插件版本。
目前官方尚未发布修复版本。建议禁用插件或使用 WAF 缓解风险,并密切关注官方更新。
目前尚无公开的漏洞利用程序,但由于漏洞的严重性,预计未来可能会出现,建议保持警惕。
请访问 Livemesh Addons for Elementor 的官方网站或 WordPress 插件目录,查找有关 CVE-2026-1620 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。