Plateforme
wordpress
Composant
dx-watermark
Corrigé dans
1.0.5
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WordPress DX-Watermark. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié. Elle affecte les versions du plugin DX-Watermark antérieures ou égales à 1.0.4. Une version corrigée, 1.0.5, est désormais disponible.
La vulnérabilité CSRF dans DX-Watermark permet à un attaquant d'exploiter la confiance d'un utilisateur authentifié pour effectuer des actions malveillantes. Un attaquant pourrait, par exemple, modifier les paramètres de configuration du plugin, ajouter ou supprimer des filigranes, ou même compromettre d'autres données associées au site web. L'exploitation réussie de cette vulnérabilité peut entraîner un vol de données sensibles, une modification non autorisée du contenu du site, et potentiellement, une prise de contrôle partielle du site web.
Cette vulnérabilité a été rendue publique le 25 avril 2024. Aucune preuve d'exploitation active n'est actuellement disponible, mais la sévérité CRITICAL du CVSS indique un risque élevé. Il est probable que des attaquants commencent à scanner les sites web vulnérables dans les jours ou semaines à venir. Il n'y a pas d'entrée dans le KEV à ce jour.
Websites using the DX-Watermark plugin, particularly those with administrative users who frequently interact with the plugin's settings, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'dx_watermark_options' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/dx-watermark/ | grep Serverdisclosure
Statut de l'Exploit
EPSS
0.11% (percentile 30%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour DX-Watermark vers la version 1.0.5. En attendant la mise à jour, il est possible de limiter l'impact en implémentant des mesures de sécurité supplémentaires, telles que l'utilisation de tokens CSRF dans les formulaires critiques du plugin. Il est également recommandé de désactiver temporairement le plugin si la mise à jour n'est pas possible immédiatement. Après la mise à jour, vérifiez que les paramètres de configuration du plugin sont corrects et qu'il n'y a pas de filigranes indésirables.
Mettez à jour le plugin DX-Watermark vers la dernière version disponible. La mise à jour corrige la vulnérabilité CSRF et XSS, empêchant le téléversement de fichiers arbitraires et l'exécution de scripts malveillants. Vous pouvez mettre à jour directement depuis le tableau de bord d'administration de WordPress.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-30560 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the DX-Watermark WordPress plugin, allowing attackers to potentially execute malicious scripts.
You are affected if you are using DX-Watermark version 1.0.4 or earlier. Upgrade to 1.0.5 to mitigate the risk.
Upgrade the DX-Watermark plugin to version 1.0.5 or later. Consider a WAF as a temporary workaround if upgrading is not immediately possible.
There is currently no confirmed active exploitation, but the CRITICAL severity makes it a high-priority target.
Refer to the DX-Watermark plugin's official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.