Plateforme
wordpress
Composant
mipl-wc-multisite-sync
Corrigé dans
1.1.6
La vulnérabilité CVE-2024-12152 affecte le plugin WordPress MIPL WC Multisite Sync, permettant un accès arbitraire aux fichiers. Cette faille de traversal de répertoire permet à des attaquants non authentifiés de lire des fichiers sensibles sur le serveur. Les versions concernées sont celles inférieures ou égales à 1.1.5. Une correction a été publiée et il est recommandé de mettre à jour le plugin.
Cette vulnérabilité d'accès arbitraire aux fichiers représente un risque significatif pour les sites WordPress utilisant le plugin MIPL WC Multisite Sync. Un attaquant peut exploiter cette faille pour lire des fichiers situés n'importe où sur le serveur web, potentiellement exposant des informations sensibles telles que des fichiers de configuration, des clés API, des mots de passe, ou des données de bases de données. L'accès à ces informations pourrait permettre à l'attaquant de compromettre davantage le site web, d'accéder à des données confidentielles des utilisateurs, ou de mener des attaques plus sophistiquées. Bien qu'il n'y ait pas de rapport d'exploitation publique connu, la simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
Le CVE-2024-12152 a été publié le 7 janvier 2025. Il n'est pas actuellement répertorié sur le KEV de CISA, ni existe-t-il de PoC public largement diffusé. Cependant, la nature simple de la vulnérabilité de traversal de répertoire suggère un risque d'exploitation potentielle, en particulier si des attaquants automatisent la recherche de plugins WordPress vulnérables.
WordPress websites using the MIPL WC Multisite Sync plugin, particularly those with default or overly permissive file permissions, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'mipl_wc_sync_download_log' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mipl-wc-multisite-sync/mipl_wc_sync_download_log.php• wordpress / composer / npm:
wp plugin list | grep 'MIPL WC Multisite Sync'• wordpress / composer / npm:
wp plugin update --alldisclosure
Statut de l'Exploit
EPSS
5.81% (percentile 90%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin MIPL WC Multisite Sync vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est possible de restreindre les permissions du répertoire où se trouve le fichier 'miplwcsyncdownloadlog' pour empêcher l'accès non autorisé. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes ciblant cette vulnérabilité. Vérifiez après la mise à jour que le plugin fonctionne correctement et que l'accès aux fichiers sensibles est bien restreint.
Actualice el plugin MIPL WC Multisite Sync a la última versión disponible. La vulnerabilidad permite la descarga de archivos arbitrarios sin autenticación, por lo que es crucial actualizar para proteger la información sensible del servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-12152 is a vulnerability in the MIPL WC Multisite Sync WordPress plugin that allows unauthenticated attackers to read arbitrary files on the server, potentially exposing sensitive data.
You are affected if you are using the MIPL WC Multisite Sync plugin in a version equal to or less than 1.1.5.
Upgrade the MIPL WC Multisite Sync plugin to the latest available version as soon as a patch is released. Until then, restrict file permissions and implement WAF rules.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants caution.
Check the MIPL website and WordPress plugin repository for updates and advisories related to CVE-2024-12152.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.