Plateforme
wordpress
Composant
designthemes-core-features
Corrigé dans
4.7.1
La vulnérabilité CVE-2024-13471 affecte le plugin DesignThemes Core Features pour WordPress. Elle permet un accès arbitraire à des fichiers en raison d'un contrôle d'autorisation manquant dans la fonction dtprocessimported_file. Cette faille permet à des attaquants non authentifiés de lire des fichiers sensibles sur le système d'exploitation. Les versions concernées sont celles inférieures ou égales à 4.7.
Cette vulnérabilité représente un risque significatif car elle permet à un attaquant non authentifié de lire des fichiers arbitraires sur le serveur WordPress. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des clés API, des mots de passe, ou même le code source de l'application. L'accès à ces informations pourrait permettre à l'attaquant de compromettre davantage le système, d'accéder à des données confidentielles, ou de modifier le comportement de l'application. L'impact est amplifié si le serveur WordPress héberge des données critiques ou est connecté à d'autres systèmes sensibles. Bien qu'il n'y ait pas de rapport d'exploitation publique connu à ce jour, la facilité d'exploitation potentielle rend cette vulnérabilité particulièrement préoccupante.
La vulnérabilité a été publiée le 2025-03-05. Il n'y a pas d'indication d'exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. Un proof-of-concept public n'est pas encore disponible, mais la nature de la vulnérabilité suggère qu'il pourrait être développé rapidement.
WordPress websites using the DesignThemes Core Features plugin, particularly those running versions 4.7 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable. Websites with sensitive data stored in easily accessible locations on the server are also at higher risk.
• wordpress / composer / npm:
grep -r 'dt_process_imported_file' /var/www/html/wp-content/plugins/design-themes-core-features/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/design-themes-core-features/dt_process_imported_file.php?file=../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep design-themes-core-featuresdisclosure
Statut de l'Exploit
EPSS
1.53% (percentile 81%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin DesignThemes Core Features vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, des mesures d'atténuation temporaires peuvent être mises en place. Il est recommandé de restreindre les permissions du serveur web pour limiter l'accès aux fichiers sensibles. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation. Surveillez attentivement les journaux du serveur web pour détecter toute activité suspecte, notamment les tentatives d'accès à des fichiers inhabituels.
Actualizar el plugin DesignThemes Core Features a una versión posterior a la 4.7. Si no hay una actualización disponible, considere deshabilitar el plugin hasta que se publique una versión corregida.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-13471 is a vulnerability in the DesignThemes Core Features WordPress plugin allowing unauthenticated attackers to read arbitrary files. It has a CVSS score of 7.5 (HIGH) and affects versions up to 4.7.
You are affected if your WordPress site uses the DesignThemes Core Features plugin version 4.7 or earlier. Check your plugin versions immediately.
Update the DesignThemes Core Features plugin to the latest available version. There are no known workarounds beyond updating the plugin.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the DesignThemes website or WordPress plugin repository for the latest advisory and update information regarding CVE-2024-13471.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.