Plateforme
wordpress
Composant
omni-secure-files
Corrigé dans
0.1.14
La vulnérabilité CVE-2012-10064 affecte le plugin Omni Secure Files pour WordPress, permettant un accès arbitraire de fichiers. Cette faille critique permet à des attaquants non authentifiés de télécharger des fichiers malveillants sur le serveur, ouvrant potentiellement la voie à l'exécution de code à distance. Les versions concernées sont celles inférieures ou égales à 0.1.13. Une version corrigée (0.1.14) est disponible.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour télécharger des fichiers arbitraires sur le serveur WordPress, contournant les mécanismes de sécurité standard. Cela peut inclure le téléchargement de scripts malveillants (PHP, ASPX, etc.) qui, une fois exécutés, compromettraient l'ensemble du site web. L'attaquant pourrait ainsi prendre le contrôle du serveur, voler des données sensibles (informations utilisateur, données de base de données), ou utiliser le serveur comme point de départ pour des attaques contre d'autres systèmes du réseau. Cette vulnérabilité est particulièrement dangereuse car elle ne nécessite aucune authentification préalable, rendant le site web vulnérable à des attaques provenant de sources inconnues.
Cette vulnérabilité a été rendue publique en 2012 et, bien qu'elle soit ancienne, elle reste pertinente pour les sites WordPress hébergeant des versions obsolètes du plugin. Il n'y a pas d'indications d'une exploitation active à grande échelle, mais la simplicité de l'exploitation et l'absence de validation de type de fichier en font une cible potentielle pour les attaquants automatisés. Aucune entrée n'est présente dans le KEV de CISA à ce jour.
Statut de l'Exploit
EPSS
0.51% (percentile 66%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Omni Secure Files vers la version 0.1.14 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est fortement recommandé de désactiver temporairement le plugin jusqu'à ce que la mise à jour puisse être appliquée. En complément, configurez un pare-feu d'application web (WAF) pour bloquer les tentatives de téléchargement de fichiers non autorisés. Surveillez les journaux du serveur pour détecter toute activité suspecte, en particulier les tentatives de téléchargement de fichiers inhabituels. Enfin, assurez-vous que les permissions du répertoire d'upload sont correctement configurées pour limiter l'accès en écriture.
Mettre à jour vers la version 0.1.14, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2012-10064 is a critical vulnerability in the Omni Secure Files WordPress plugin allowing attackers to upload arbitrary files due to missing file type validation. This can lead to remote code execution and complete server compromise.
You are affected if you are using the Omni Secure Files plugin in WordPress version 0.1.13 or earlier. Check your plugin version immediately and upgrade if necessary.
Upgrade the Omni Secure Files plugin to version 0.1.14 or later. If upgrading is not possible, temporarily disable the plugin and consider using a WAF to block suspicious file uploads.
While no specific active campaigns are publicly known, the vulnerability's ease of exploitation and potential impact make it a persistent risk, especially for unpatched systems.
The official advisory is typically found on the WordPress plugin repository page for Omni Secure Files, or on the developer's website (if available). Search for 'Omni Secure Files CVE-2012-10064' to locate relevant information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.