Plateforme
wordpress
Composant
folders
Corrigé dans
3.0.3
La vulnérabilité CVE-2024-2024 affecte le plugin Folders Pro pour WordPress. Elle se manifeste par un accès arbitraire aux fichiers, dû à une validation insuffisante des types de fichiers dans la fonction 'handlefoldersfile_upload'. Cette faille permet à des attaquants authentifiés, disposant d'un accès d'auteur ou supérieur, de télécharger des fichiers arbitraires sur le serveur, ce qui pourrait potentiellement conduire à l'exécution de code à distance. Les versions concernées sont celles inférieures ou égales à 3.0.2.
L'impact de cette vulnérabilité est significatif. Un attaquant authentifié, avec un accès d'auteur ou supérieur, peut exploiter cette faille pour télécharger des fichiers malveillants sur le serveur WordPress. Ces fichiers pourraient être des scripts PHP, des shells web ou d'autres types de fichiers exécutables, permettant à l'attaquant de prendre le contrôle du serveur. La compromission du serveur peut entraîner la perte de données sensibles, la modification du contenu du site web, ou l'utilisation du serveur pour lancer d'autres attaques. Cette vulnérabilité rappelle les risques liés à l'upload de fichiers non validés, un problème fréquemment observé dans les applications web.
Cette vulnérabilité a été rendue publique le 14 juin 2024. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'un accès authentifié, mais la sévérité élevée de la vulnérabilité justifie une attention particulière. Des preuves de concept (PoC) pourraient être développées et rendues publiques, augmentant le risque d'exploitation.
WordPress websites utilizing the Folders Pro plugin, particularly those with users having author or higher roles, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially impact others. Legacy WordPress installations running outdated versions of Folders Pro are also at increased risk.
• wordpress / composer / npm:
grep -r "handle_folders_file_upload" /var/www/html/wp-content/plugins/folders-pro/• wordpress / composer / npm:
wp plugin list --status=all | grep 'Folders Pro'• wordpress / composer / npm:
wp plugin update folders-pro --all• generic web: Check WordPress plugin directory for Folders Pro updates and security advisories.
disclosure
Statut de l'Exploit
EPSS
17.12% (percentile 95%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Folders Pro vers une version corrigée, dès qu'elle sera disponible. En attendant, il est possible de mettre en place des mesures temporaires. Il est recommandé de restreindre les permissions des utilisateurs ayant un accès d'auteur ou supérieur. De plus, configurez votre serveur web pour bloquer l'exécution de fichiers PHP dans le répertoire d'upload des fichiers. Enfin, surveillez attentivement les journaux du serveur et du plugin pour détecter toute activité suspecte.
Actualice el plugin Folders Pro a la última versión disponible. La vulnerabilidad permite la subida de archivos arbitrarios, lo que podría llevar a la ejecución remota de código. La actualización corrige la falta de validación de tipos de archivo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-2024 is a HIGH severity vulnerability in Folders Pro WordPress plugin versions ≤3.0.2, allowing authenticated attackers to upload arbitrary files, potentially leading to remote code execution.
If you are using Folders Pro version 3.0.2 or earlier, you are vulnerable. Check your plugin version using wp plugin list and upgrade immediately.
Upgrade Folders Pro to the latest available version. If immediate upgrade is not possible, restrict file upload permissions and implement a WAF rule to block malicious file extensions.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's potential for RCE makes it a high-priority risk.
Refer to the Folders Pro plugin website and WordPress.org plugin page for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.