Plataforma
wordpress
Componente
pandavideo
Corregido en
1.4.1
La vulnerabilidad CVE-2024-5456 afecta al plugin Panda Video para WordPress, permitiendo una Inclusión de Archivos Locales (LFI). Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, incluir y ejecutar archivos arbitrarios en el servidor. Las versiones afectadas son todas las versiones hasta la 1.4.0 inclusive. Se recomienda actualizar el plugin a la última versión disponible o aplicar medidas de mitigación para reducir el riesgo.
La Inclusión de Archivos Locales (LFI) en Panda Video representa un riesgo significativo para la seguridad de las instalaciones de WordPress. Un atacante que explote esta vulnerabilidad puede incluir y ejecutar código PHP arbitrario, lo que podría resultar en la toma de control completa del servidor. Esto incluye la capacidad de acceder a información sensible, modificar archivos del sistema, instalar malware y realizar otras acciones maliciosas. La autenticación con privilegios de Contribuidor o superiores es suficiente para explotar la vulnerabilidad, lo que amplía el rango de posibles atacantes. La ejecución de código arbitrario permite eludir controles de acceso y comprometer la integridad de la aplicación.
Actualmente, no se han reportado casos de explotación activa de CVE-2024-5456. La vulnerabilidad ha sido publicada el 9 de julio de 2024. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación. La existencia de un PoC público podría aumentar el riesgo de explotación.
WordPress websites using the Panda Video plugin, particularly those with multiple users granted Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable, as attackers may be able to upload malicious files more easily.
• wordpress / composer / npm:
grep -r 'selected_button' /var/www/html/wp-content/plugins/panda-video/• wordpress / composer / npm:
wp plugin list --status=inactive | grep panda-video• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/panda-video/ | grep selected_buttondisclosure
Estado del Exploit
EPSS
0.58% (69% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-5456 es actualizar el plugin Panda Video a la última versión disponible, que debería corregir la vulnerabilidad de Inclusión de Archivos Locales. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio del plugin y monitorear los archivos del sistema en busca de modificaciones no autorizadas. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en el parámetro 'selectedbutton'. Verifique después de la actualización que el parámetro 'selectedbutton' no permita la inclusión de archivos fuera del directorio esperado.
Actualice el plugin Panda Video a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-5456 is a Local File Inclusion vulnerability affecting the Panda Video WordPress plugin versions up to 1.4.0, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using the Panda Video plugin version 1.4.0 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Panda Video plugin to the latest available version. Check the vendor's website for the updated version.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants close monitoring.
Check the Panda Video plugin's official website or the WordPress plugin repository for the advisory and updated version.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.