The Events Calendar 插件漏洞预警（CVE-2026-3585）

内容管家 2026年3月10日 3 0

漏洞速览漏洞编号：CVE-2026-3585 风险评分：7.5（高危）首次披露：2026-03-09 最近更新：2026-03-09 软件类型：插件插件标识：the-events-calendar 受影响版本：<= 6.15.1…

漏洞速览

漏洞编号：CVE-2026-3585
风险评分：7.5（高危）
首次披露：2026-03-09
最近更新：2026-03-09
软件类型：插件
插件标识：the-events-calendar
受影响版本：<= 6.15.17
修复版本：6.15.17.1
是否已修复：是

漏洞详情

WordPress 插件 The Events Calendar 在 6.15.17 及之前的所有版本中存在路径遍历漏洞，源于 ajaxcreateimport 函数。攻击者只需具备 Author 权限即可利用该漏洞读取服务器上的任意文件内容，可能导致敏感信息泄露。

影响与风险

风险说明：该漏洞可能导致未授权操作，请结合官方公告评估影响。
研究人员：Dmitrii Ignatyev – CleanTalk Inc

修复建议

按官方建议执行修复：更新至 6.15.17.1 或更高已修复版本。
复核 administrator/shop manager 等高权限账号与角色授权。
排查近期插件安装/配置变更记录，确认无异常写入。
建议配合 WAF 与登录审计，持续观察可疑请求。

延伸阅读

声明：1、本站大部分资源均为网络采集所得，仅供用来学习研究，请于下载后的24h内自行删除，正式商用请购买正版。2、所有汉化类文件和个别标注了“原创”的产品均为本站原创发布，任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。3、如若本站内容侵犯了原著者的合法权益，请携带相关版权文件联系我们进行下架或删除。4、虚拟下载类资源具有可复制性，一经下载后本站有权拒绝退款或更换其他商品！

标签：WordPress