Panda Video <= 1.4.0 - Inclusion Locale de Fichier Authentifiée (Contributeur+)
Plateforme
wordpress
Composant
pandavideo
Corrigé dans
1.4.1
Le plugin Panda Video pour WordPress est vulnérable à une Inclusion Locale de Fichier (LFI) dans toutes les versions jusqu'à et y compris 1.4.0. Cette faille, exploitée via le paramètre 'selected_button', permet à des attaquants authentifiés, disposant d'un accès de niveau Contributeur ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur. L'exploitation réussie peut mener à la compromission du serveur et à la divulgation de données sensibles.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
L'impact de cette vulnérabilité est significatif. Un attaquant authentifié, avec un simple accès Contributeur, peut exploiter la LFI pour exécuter du code PHP arbitraire sur le serveur WordPress. Cela permet de contourner les contrôles d'accès, d'obtenir des informations sensibles stockées sur le serveur (fichiers de configuration, mots de passe, clés API) et potentiellement de prendre le contrôle complet du serveur. La capacité d'inclure des fichiers arbitraires signifie que même des images ou d'autres types de fichiers considérés comme sûrs peuvent être utilisés pour exécuter du code malveillant. Cette vulnérabilité présente un risque élevé de compromission du système.
Contexte d'Exploitation
Cette vulnérabilité est actuellement publique et présente un risque modéré d'exploitation. Bien qu'il n'y ait pas de preuves d'exploitation active à grande échelle, la simplicité de l'exploitation et la large utilisation des plugins WordPress en font une cible attrayante pour les attaquants. Il est probable que des preuves de concept (PoC) publiques soient disponibles ou seront développées prochainement. Surveillez les sources d'informations sur les vulnérabilités et les forums de sécurité pour les mises à jour.
Qui Est à Risquetraduction en cours…
WordPress websites using the Panda Video plugin, particularly those with multiple users granted Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable, as attackers may be able to upload malicious files more easily.
Étapes de Détectiontraduction en cours…
• wordpress / composer / npm:
grep -r 'selected_button' /var/www/html/wp-content/plugins/panda-video/• wordpress / composer / npm:
wp plugin list --status=inactive | grep panda-video• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/panda-video/ | grep selected_buttonChronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.58% (percentile 69%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Informations sur le paquet
- Installations actives
- 4KNiche
- Note du plugin
- 0.0
- Compatible jusqu'à
- 6.5.8
- Nécessite PHP
- 7.0+
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour le plugin Panda Video vers une version corrigée, dès qu'elle sera disponible. En attendant, plusieurs mesures d'atténuation peuvent être mises en œuvre. Il est fortement recommandé de restreindre les droits d'accès des utilisateurs au niveau minimum nécessaire. De plus, la configuration du serveur web pour désactiver l'exécution de PHP dans les répertoires où les fichiers de plugin sont stockés peut réduire le risque. Surveillez attentivement les journaux du serveur pour détecter toute tentative d'inclusion de fichiers suspects. Enfin, l'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes malveillantes exploitant cette vulnérabilité.
Comment corrigertraduction en cours…
Actualice el plugin Panda Video a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentestraduction en cours…
What is CVE-2024-5456 — LFI in Panda Video WordPress Plugin?
CVE-2024-5456 is a Local File Inclusion vulnerability affecting the Panda Video WordPress plugin versions up to 1.4.0, allowing authenticated attackers to execute arbitrary PHP code.
Am I affected by CVE-2024-5456 in Panda Video WordPress Plugin?
You are affected if you are using the Panda Video plugin version 1.4.0 or earlier. Check your plugin version and upgrade immediately if necessary.
How do I fix CVE-2024-5456 in Panda Video WordPress Plugin?
Upgrade the Panda Video plugin to the latest available version. Check the vendor's website for the updated version.
Is CVE-2024-5456 being actively exploited?
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants close monitoring.
Where can I find the official Panda Video advisory for CVE-2024-5456?
Check the Panda Video plugin's official website or the WordPress plugin repository for the advisory and updated version.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.