Plateforme
wordpress
Composant
boldgrid-backup
Corrigé dans
1.15.9
La vulnérabilité CVE-2024-24869 concerne un défaut de limitation de chemin d'accès (Path Traversal) dans le plugin WordPress Total Upkeep. Cette faille permet à un attaquant d'accéder à des fichiers arbitraires sur le serveur, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions de Total Upkeep antérieures ou égales à 1.15.8, et une version corrigée (1.15.9) est désormais disponible.
Un attaquant exploitant cette vulnérabilité peut lire des fichiers sensibles situés en dehors du répertoire prévu, tels que des fichiers de configuration, des fichiers de code source ou des données sensibles des utilisateurs. L'accès non autorisé à ces fichiers peut conduire à la divulgation d'informations confidentielles, à la modification de fichiers système ou même à l'exécution de code malveillant sur le serveur. Le risque est exacerbé si le serveur héberge plusieurs sites web, car une compromission pourrait potentiellement affecter d'autres applications ou bases de données partagées. Cette vulnérabilité présente un risque élevé en raison de sa simplicité d'exploitation et de son impact potentiel.
Cette vulnérabilité a été rendue publique le 17 mai 2024. Il n'y a pas d'indications d'exploitation active à ce jour, mais la simplicité de l'exploitation rend cette vulnérabilité potentiellement attractive pour les attaquants. Il n'est pas listé sur le KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger rapidement.
WordPress websites utilizing BoldGrid Total Upkeep, particularly those with older versions (≤1.15.8) and less stringent security configurations, are at risk. Shared hosting environments where users have limited control over server permissions are also particularly vulnerable, as are systems with default or weak file access controls.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/total-upkeep/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/total-upkeep/../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Statut de l'Exploit
EPSS
1.42% (percentile 81%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Total Upkeep vers la version 1.15.9 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre l'accès au plugin via un pare-feu d'application web (WAF) en bloquant les requêtes contenant des séquences de caractères de contournement de chemin (par exemple, '..'). Vérifiez également les permissions des fichiers et des répertoires pour vous assurer qu'ils sont configurés de manière sécurisée. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et examinez les journaux d'accès pour détecter toute activité suspecte.
Actualice el plugin Total Upkeep a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Total Upkeep' para actualizarlo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-24869 is a path traversal vulnerability in BoldGrid Total Upkeep allowing attackers to potentially access arbitrary files. It has a CVSS score of 7.5 (HIGH) and affects versions up to 1.15.8.
You are affected if you are using BoldGrid Total Upkeep version 1.15.8 or earlier. Upgrade to version 1.15.9 to resolve the vulnerability.
Upgrade BoldGrid Total Upkeep to version 1.15.9 or later. As a temporary workaround, restrict file access permissions and implement WAF rules to block path traversal attempts.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the BoldGrid security advisory for detailed information and updates: [https://boldgrid.com/security-advisories/]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.