Plateforme
wordpress
Composant
error-log-viewer-wp
Corrigé dans
1.0.2
La vulnérabilité CVE-2024-12849 affecte le plugin WordPress « Error Log Viewer By WP Guru ». Elle permet une lecture arbitraire de fichiers, offrant aux attaquants non authentifiés la possibilité d'accéder à des informations sensibles stockées sur le serveur. Cette faille est présente dans toutes les versions du plugin inférieures ou égales à 1.0.1.3. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de lire n'importe quel fichier accessible au serveur web. Cela peut inclure des fichiers de configuration contenant des mots de passe, des clés API, des informations de connexion à la base de données, ou même le code source du site web. L'attaquant pourrait également accéder à des fichiers contenant des données sensibles des utilisateurs. La divulgation de ces informations pourrait entraîner une compromission significative de la confidentialité, de l'intégrité et de la disponibilité du site web et de ses données. Bien qu'il n'y ait pas de rapport d'exploitation publique connu à ce jour, la simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
Cette vulnérabilité a été rendue publique le 7 janvier 2025. Elle n'est pas actuellement répertoriée sur le KEV de CISA, ni associée à une campagne d'exploitation active. La vulnérabilité est relativement simple à exploiter, ce qui augmente le risque d'exploitation, en particulier sur les sites web non mis à jour. Il est conseillé de surveiller les forums de sécurité et les rapports de vulnérabilités pour détecter d'éventuelles exploitations.
WordPress websites using the Error Log Viewer By WP Guru plugin, particularly those running versions prior to 1.0.1.3, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the exposure of data from other sites.
• wordpress / composer / npm:
grep -r 'wp_ajax_nopriv_elvwp_log_download' /var/www/html/wp-content/plugins/error-log-viewer-by-wp-guru/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=elvwp_log_download&file=/etc/passwd• wordpress / composer / npm:
wp plugin list | grep 'Error Log Viewer By WP Guru'disclosure
Statut de l'Exploit
EPSS
92.98% (percentile 100%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin « Error Log Viewer By WP Guru » vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre l'accès à l'action AJAX elvwplogdownload via un pare-feu d'application web (WAF) ou un proxy inverse. Il est également possible de modifier les permissions du serveur web pour limiter l'accès aux fichiers sensibles. Après la mise à jour, vérifiez que l'action AJAX elvwplogdownload ne permet plus l'accès à des fichiers arbitraires en tentant de télécharger un fichier non autorisé.
Actualice el plugin Error Log Viewer By WP Guru a una versión posterior a la 1.0.1.3. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-12849 is a vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server running the Error Log Viewer By WP Guru plugin versions up to 1.0.1.3.
You are affected if you are using the Error Log Viewer By WP Guru plugin in WordPress and are running a version equal to or less than 1.0.1.3. Check your plugin version immediately.
Update the Error Log Viewer By WP Guru plugin to the latest available version. If immediate upgrade is not possible, restrict access to the vulnerable AJAX endpoint.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.