Plateforme
wordpress
Composant
database-backup
Corrigé dans
2.36.1
La vulnérabilité CVE-2024-13910 affecte le plugin WordPress "Database Backup and check Tables Automated With Scheduler". Elle permet un accès arbitraire de fichiers en raison d'une validation insuffisante des chemins de fichiers. Cette faille peut permettre à un attaquant authentifié, disposant d'un accès d'administrateur ou supérieur, de supprimer des fichiers sur le serveur, ce qui peut facilement conduire à une exécution de code à distance. Les versions concernées sont celles inférieures ou égales à 2.35, avec une correction partielle introduite dans la version 2.36.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant authentifié de supprimer des fichiers critiques sur le serveur WordPress. La suppression de fichiers tels que wp-config.php peut permettre l'exécution de code à distance, donnant à l'attaquant un contrôle total sur le site web. La vulnérabilité est particulièrement préoccupante car elle ne nécessite qu'un accès d'administrateur, un niveau d'accès souvent accordé à plusieurs utilisateurs. Une exploitation réussie pourrait entraîner la compromission complète du serveur, la perte de données, et l'utilisation du serveur pour des activités malveillantes.
Cette vulnérabilité a été rendue publique le 1er mars 2025. Bien qu'il n'y ait pas de preuve d'exploitation active à ce jour, la facilité d'exploitation et la gravité potentielle de la vulnérabilité en font une cible attrayante pour les attaquants. Il n'est pas listé sur le KEV de CISA au moment de la rédaction. Des preuves de concept publiques sont disponibles, ce qui augmente le risque d'exploitation.
WordPress websites utilizing the Database Backup and check Tables Automated With Scheduler plugin, particularly those with shared hosting environments where file permissions may be less restrictive, are at risk. Legacy WordPress installations with outdated plugins and inadequate security practices are also particularly vulnerable.
• wordpress / plugin: Use wp-cli plugin list to identify installations of the Database Backup and check Tables Automated With Scheduler plugin. Check the version number to determine if it is vulnerable.
wp plugin list --status=all | grep 'Database Backup and check Tables Automated With Scheduler'• wordpress / plugin: Examine plugin files for the databasebackupajax_delete function and any related file path validation logic. Look for instances where user-supplied input is directly used to construct file paths without proper sanitization.
• generic web: Monitor web server access logs for requests to the databasebackupajax_delete endpoint, particularly those originating from unusual IP addresses or user agents. Look for patterns indicative of file deletion attempts.
• wordpress / composer / npm: While this plugin doesn't use Composer or npm, ensure other plugins are regularly audited for vulnerabilities using composer audit or npm audit.
disclosure
Statut de l'Exploit
EPSS
3.97% (percentile 88%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin "Database Backup and check Tables Automated With Scheduler" vers la version 2.36 ou supérieure. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en place. Il est fortement recommandé de restreindre l'accès aux fonctions d'administration du plugin et de surveiller attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation. Vérifiez après la mise à jour que la fonction de suppression de sauvegarde ne permet pas l'accès à des chemins de fichiers arbitraires.
Actualice el plugin Database Backup and check Tables Automated With Scheduler 2024 a la versión 2.36 o superior. Esta versión contiene una corrección para la vulnerabilidad de eliminación arbitraria de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-13910 is a vulnerability in the Database Backup and check Tables Automated With Scheduler WordPress plugin allowing authenticated administrators to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using the Database Backup and check Tables Automated With Scheduler plugin in versions 2.35 or earlier. Upgrade to version 2.36 or later to mitigate the risk.
Upgrade the Database Backup and check Tables Automated With Scheduler plugin to version 2.36 or later. Consider restricting file permissions and implementing WAF rules as additional safeguards.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation suggests it may become a target.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and updates related to CVE-2024-13910.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.