平台
wordpress
组件
siteorigin-panels
修复版本
2.33.6
CVE-2026-2448是一个本地文件包含(LFI)漏洞,影响SiteOrigin Page Builder WordPress插件。该漏洞允许经过身份验证的攻击者(拥有贡献者级别或更高权限)包含并执行服务器上的任意文件,从而可能导致代码执行。受影响的版本包括从0.0.0到2.33.5的版本。建议立即升级到2.34.0版本以解决此问题。
该LFI漏洞的潜在影响非常严重。攻击者可以利用此漏洞包含并执行任意PHP代码,从而完全控制受影响的WordPress站点。攻击者可以读取敏感数据,例如数据库凭据、配置文件和用户数据。更严重的是,攻击者可以利用此漏洞执行恶意代码,例如安装后门、修改网站内容或发起分布式拒绝服务(DDoS)攻击。由于攻击者只需要贡献者级别的权限,因此即使权限较低的用户也可能被利用。此漏洞类似于其他LFI漏洞,可能导致服务器被完全控制。
该漏洞已公开披露,且CVSS评分为高(8.8)。目前尚未发现公开的PoC,但漏洞的严重性表明可能存在被利用的风险。CISA尚未将其添加到KEV目录中。建议密切关注安全社区的动态,并及时采取缓解措施。
WordPress websites utilizing the Page Builder by SiteOrigin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable, as they may be unable to implement effective mitigation strategies beyond plugin updates.
• wordpress / composer / npm:
wp plugin list | grep 'Page Builder by SiteOrigin'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'locate_template(' /var/www/wordpress/wp-content/plugins/page-builder-siteorigin/*• generic web: Check WordPress plugin directory for updated version and security advisories.
disclosure
漏洞利用状态
EPSS
0.10% (28% 百分位)
CISA SSVC
最有效的缓解措施是立即将SiteOrigin Page Builder插件升级到2.34.0版本或更高版本。如果升级会导致网站中断,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。此外,可以实施一些额外的安全措施来降低风险。例如,可以使用Web应用防火墙(WAF)来阻止对locate_template()函数的恶意请求。还可以配置WordPress服务器,限制PHP代码的执行位置,从而减少攻击者可以利用的入口点。务必在升级后验证修复是否有效,例如通过尝试访问受影响的功能并确认文件包含尝试被阻止。
更新到 2.34.0 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-2448是一个本地文件包含(LFI)漏洞,影响SiteOrigin Page Builder WordPress插件,允许攻击者包含并执行任意文件,导致代码执行。
如果您正在使用SiteOrigin Page Builder插件的版本低于2.34.0(包括0.0.0–2.33.5),则您可能受到此漏洞的影响。
立即将SiteOrigin Page Builder插件升级到2.34.0版本或更高版本。
虽然目前尚未发现公开的PoC,但漏洞的严重性表明可能存在被利用的风险。
请访问SiteOrigin官方网站或WordPress插件目录,查找有关CVE-2026-2448的官方安全公告。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。