Plateforme
wordpress
Composant
wp-hide-security-enhancer
Corrigé dans
2.5.2
La vulnérabilité CVE-2024-11585 affecte le plugin WordPress WP Hide & Security Enhancer. Elle permet à un attaquant non authentifié de supprimer le contenu de fichiers arbitraires sur le serveur, ce qui peut entraîner des pannes du site ou une perte de données. Cette faille est due à un manque d'autorisation et à une validation insuffisante du chemin d'accès aux fichiers dans le fichier file-process.php. Les versions concernées sont celles inférieures ou égales à 2.5.1. Une mise à jour vers une version corrigée est recommandée.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour supprimer des fichiers critiques du serveur, compromettant ainsi l'intégrité et la disponibilité du site WordPress. La suppression de fichiers de configuration, de bases de données ou de fichiers système peut entraîner une panne complète du site web. De plus, la suppression de données sensibles peut avoir des conséquences graves en termes de confidentialité et de conformité réglementaire. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite pas d'authentification, ce qui signifie que n'importe qui peut potentiellement l'exploiter.
La vulnérabilité CVE-2024-11585 a été rendue publique le 6 décembre 2024. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. Cependant, la simplicité de l'exploitation et le fait qu'elle ne nécessite pas d'authentification la rendent potentiellement attrayante pour les attaquants. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter toute nouvelle information concernant l'exploitation de cette faille.
Websites using the WP Hide & Security Enhancer plugin, particularly those running older versions (≤2.5.1), are at risk. Shared hosting environments are particularly vulnerable as they often have limited file permission controls, making it easier for attackers to exploit this vulnerability.
• wordpress / composer / npm:
grep -r 'file_process.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "WP Hide & Security Enhancer"• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-hide-security-enhancer/file-process.php?file=../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
2.01% (percentile 84%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation consiste à mettre à jour le plugin WP Hide & Security Enhancer vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est possible de restreindre les permissions du répertoire où se trouve le fichier file-process.php afin d'empêcher l'écriture de fichiers par des utilisateurs non autorisés. De plus, l'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes malveillantes ciblant cette vulnérabilité. Il est également recommandé de surveiller les journaux du serveur pour détecter toute activité suspecte.
Actualice el plugin WP Hide & Security Enhancer a la última versión disponible. La vulnerabilidad que permite la eliminación de contenido de archivos arbitrarios sin autenticación se ha corregido en versiones posteriores a la 2.5.1.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-11585 is a vulnerability in the WP Hide & Security Enhancer plugin that allows unauthenticated attackers to delete arbitrary files on a WordPress server.
You are affected if you are using WP Hide & Security Enhancer version 2.5.1 or earlier. Check your plugin version and upgrade immediately.
Upgrade the WP Hide & Security Enhancer plugin to the latest available version. If upgrading is not immediately possible, restrict file access permissions and implement WAF rules.
There is currently no confirmed active exploitation, but the ease of exploitation suggests it could become a target.
Refer to the official WP Hide & Security Enhancer website and WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.