Plateforme
wordpress
Composant
et-core-plugin
Corrigé dans
5.3.9
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans XStore Core, affectant les versions inférieures ou égales à 5.3.8. Cette faille permet à un attaquant d'exploiter une inclusion de fichier local PHP (LFI), compromettant potentiellement la confidentialité et l'intégrité des données. La version corrigée, 5.3.9, résout ce problème et est fortement recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur web. En manipulant les paramètres de l'application, un attaquant peut inclure des fichiers sensibles, tels que des fichiers de configuration, des fichiers source ou des fichiers contenant des informations d'identification. Cela peut conduire à la divulgation d'informations confidentielles, à l'exécution de code arbitraire et à la prise de contrôle du serveur. Le risque est amplifié si le serveur héberge d'autres applications ou bases de données, permettant une propagation potentielle de l'attaque.
Cette vulnérabilité a été rendue publique le 4 juin 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Cependant, la nature de la vulnérabilité de contournement de chemin la rend relativement facile à exploiter, et des preuves de concept (PoC) pourraient rapidement apparaître. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Websites using the XStore Core WordPress plugin, particularly those running older versions (≤5.3.8), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the patch. Sites with lax file upload permissions are especially susceptible.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xstore-core/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/xstore-core/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
1.66% (percentile 82%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour XStore Core vers la version 5.3.9. Si la mise à jour n'est pas possible immédiatement, des mesures temporaires peuvent être prises. Il est recommandé de restreindre l'accès aux fichiers sensibles via les permissions du système de fichiers. L'utilisation d'un pare-feu d'application web (WAF) peut aider à bloquer les requêtes malveillantes exploitant cette vulnérabilité. Examinez attentivement les fichiers .htaccess pour limiter l'accès aux répertoires sensibles. Après la mise à jour, vérifiez l'intégrité des fichiers et examinez les journaux du serveur pour détecter toute activité suspecte.
Actualice el plugin XStore Core a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 5.3.8. Para actualizar, vaya al panel de administración de WordPress, luego a la sección de plugins y busque XStore Core. Si hay una actualización disponible, instálela inmediatamente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-33557 is a Path Traversal vulnerability affecting the XStore Core WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using XStore Core version 5.3.8 or earlier, you are vulnerable to this Path Traversal flaw.
Upgrade the XStore Core plugin to version 5.3.9 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a potential for rapid exploitation. Monitor your WordPress site closely.
Refer to the official XStore Core website and WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.