2.5.0
CVE-2026-4758 揭示了 WP Job Portal 插件中的一个远程代码执行 (RCE) 漏洞。该漏洞允许经过身份验证的攻击者删除服务器上的任意文件,从而可能导致 RCE。受影响的版本包括 2.4.9 及以下版本。该漏洞已在 2.5.0 版本中得到修复,建议用户尽快更新。
WordPress 的 WP Job Portal 插件存在一个关键漏洞,即 CVE-2026-4758。由于 WPJOBPORTALcustomfields::removeFileCustom 函数中文件路径验证不足,攻击者可以删除服务器上的任意文件。如果删除 wp-config.php 等关键文件,可能导致远程代码执行 (RCE)。此漏洞影响所有版本,包括 2.4.9 及更早版本,因此必须立即采取行动以减轻风险。网站被完全攻陷的潜在风险很高,突显了此问题的严重性。
具有订阅者或更高权限的攻击者可以通过构造恶意请求来利用此漏洞,从而操纵 WPJOBPORTALcustomfields::removeFileCustom 函数并指定任意文件路径以进行删除。缺乏适当的路径验证允许攻击者绕过安全保护并删除关键文件。删除 wp-config.php 尤其危险,因为它包含敏感的数据库凭据,可能授予攻击者对网站的完全访问权限并启用远程代码执行。利用的相对容易性和高潜在影响使其成为一个重大的安全隐患。
漏洞利用状态
EPSS
0.28% (51% 百分位)
CISA SSVC
CVSS 向量
解决 CVE-2026-4758 的主要方法是将 WP Job Portal 插件更新到 2.5.0 或更高版本。此版本包含文件路径验证修复,可防止未经授权的文件删除。作为临时措施,建议限制具有订阅者角色的用户的权限,以限制他们执行敏感操作的能力。定期监控服务器日志以查找可疑活动也有助于检测和响应潜在的利用尝试。更新插件是解决此漏洞的最有效和推荐方法。
更新到 2.5.0 版本,或更新的已修补版本
漏洞分析和关键警报直接发送到您的邮箱。
它是 WP Job Portal 插件中的一个安全漏洞,允许进行任意文件删除。
所有版本,包括 2.4.9 及更早版本,都存在此漏洞。
将 WP Job Portal 插件更新到 2.5.0 或更高版本。
限制具有订阅者角色的用户的权限,并监控服务器日志。
如果您怀疑您的网站已被攻陷,请进行彻底的安全审计,并考虑从干净的备份中恢复。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。