Plateforme
wordpress
Composant
fileorganizer
Corrigé dans
1.1.5
La vulnérabilité CVE-2024-11010 concerne une inclusion locale de fichiers JavaScript (JSFI) dans le plugin FileOrganizer – Manage WordPress and Website Files pour WordPress. Cette faille permet à des attaquants authentifiés, disposant d'un accès d'administrateur ou supérieur, d'inclure et d'exécuter des fichiers JavaScript arbitraires sur le serveur. Les versions affectées sont celles inférieures ou égales à 1.1.4. Une correction est disponible et son application est fortement recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié d'injecter et d'exécuter du code JavaScript malveillant sur le serveur WordPress. L'attaquant peut contourner les contrôles d'accès, voler des informations sensibles stockées dans la base de données WordPress ou même obtenir une exécution de code à distance si des images ou d'autres types de fichiers considérés comme sûrs peuvent être téléchargés et inclus. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée pour compromettre l'ensemble du site WordPress, permettant à l'attaquant de modifier le contenu, d'installer des portes dérobées ou de lancer d'autres attaques. Le risque est amplifié si le site WordPress héberge des informations personnelles ou financières sensibles.
La vulnérabilité CVE-2024-11010 a été rendue publique le 7 décembre 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Aucun PoC public n'a été largement diffusé, mais la nature de la vulnérabilité JSFI la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'un accès authentifié et de la complexité potentielle de l'exploitation.
WordPress websites utilizing the FileOrganizer plugin, particularly those with administrator accounts that have weak passwords or are otherwise vulnerable to compromise, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the exploitation of this vulnerability on other sites.
• wordpress / composer / npm:
grep -r 'default_lang' /var/www/html/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/• wordpress / composer / npm:
wp plugin list --status=all | grep fileorganizer• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/ | grep default_langdisclosure
Statut de l'Exploit
EPSS
0.30% (percentile 53%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation consiste à mettre à jour le plugin FileOrganizer vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le plugin ou de restreindre l'accès au paramètre 'default_lang'. Il est également recommandé de renforcer la sécurité du serveur WordPress en utilisant des mots de passe forts, en limitant les tentatives de connexion et en mettant à jour régulièrement tous les plugins et thèmes. Surveillez attentivement les journaux du serveur WordPress pour détecter toute activité suspecte, notamment les tentatives d'inclusion de fichiers JavaScript non autorisés.
Actualice el plugin FileOrganizer a la última versión disponible. La vulnerabilidad permite la inclusión de archivos JavaScript locales, lo que podría comprometer la seguridad del sitio web.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-11010 is a vulnerability in the FileOrganizer WordPress plugin that allows authenticated administrators to include and execute arbitrary JavaScript files, potentially leading to data theft or code execution.
You are affected if you are using the FileOrganizer plugin version 1.1.4 or earlier. Check your plugin versions and update immediately.
Update the FileOrganizer plugin to the latest available version. If an upgrade is not immediately possible, consider restricting access to the 'default_lang' parameter.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation suggests it could become a target.
Refer to the plugin developer's website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.