WP Umbrella：更新备份恢复和监控 <= 2.17.0 - 未经身份验证的本地文件包含

WP Umbrella：更新备份恢复和监控 <= 2.17.0 - 未经身份验证的本地文件包含（CVE-2024-12209） CVE编号 CVE-2024-12209 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-08 漏洞描述 WordPress的“WP雨伞：更新备份恢复与监控”插件在所有的版本直至并包括2.17.0版本都存在本地文件包含漏洞，该漏洞可以通过“雨伞恢复”操作的“文件名”参数触发。这使得未经身份验证的攻击者可以在服务器上包含并执行任意文件，执行这些文件中的任何PHP代码。这可以用于绕过访问控制，获取敏感数据，或者在上传并包含图像和其他“安全”文件类型的情况下实现代码执行。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://plugins.trac.wordpress.org/browser/wp-health/tags/v2.16.4/src/Actions... https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&... https://www.wordfence.com/threat-intel/vulnerabilities/id/c74ce3e8-cab9-4cc6-...