Plateforme
wordpress
Composant
instant-images
Corrigé dans
6.1.1
La vulnérabilité CVE-2024-33569 est une faille d'élévation de privilèges identifiée dans Instant Images. Cette faille permet à un attaquant d'exploiter une gestion incorrecte des privilèges pour obtenir un accès non autorisé au système. Elle affecte les versions d'Instant Images inférieures ou égales à 6.1.0, et une version corrigée (6.1.1) est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'escalader ses privilèges au sein du système WordPress. Cela pourrait lui permettre de modifier des fichiers critiques, d'installer des logiciels malveillants, de compromettre d'autres utilisateurs ou de prendre le contrôle total du site web. L'impact est significatif, car un attaquant peut contourner les mécanismes de sécurité standard et accéder à des données sensibles ou effectuer des actions non autorisées. Bien qu'il n'y ait pas de cas d'exploitation publique connus similaires à Log4Shell, la nature de l'élévation de privilèges rend cette vulnérabilité particulièrement préoccupante.
La vulnérabilité a été publiée le 17 mai 2024. Son score CVSS de 7.2 (Haute) indique une probabilité d'exploitation significative. Il n'y a pas d'indications d'une campagne d'exploitation active à ce jour, ni de preuve d'ajout au KEV. Des preuves de concept (PoC) pourraient être développées et rendues publiques, augmentant le risque d'exploitation.
WordPress websites utilizing the Instant Images plugin, particularly those running older versions (prior to 6.1.1), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
wp plugin list --status=inactive | grep instant-images• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status instant-images• wordpress / composer / npm:
wp plugin version instant-imagesdisclosure
Statut de l'Exploit
EPSS
0.20% (percentile 42%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Instant Images vers la version 6.1.1 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre l'accès aux fonctionnalités d'Instant Images ou de désactiver temporairement le plugin. Vérifiez également les permissions des utilisateurs WordPress pour vous assurer qu'ils n'ont pas de privilèges excessifs. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et assurez-vous qu'il n'y a pas de modifications non autorisées.
Actualice el plugin Instant Images a la última versión disponible. La vulnerabilidad permite la escalada de privilegios, por lo que es crucial actualizar lo antes posible. Si no puede actualizar, considere desactivar el plugin temporalmente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-33569 is a vulnerability in Instant Images that allows attackers to gain higher privileges on a WordPress site, potentially leading to full control.
You are affected if you are using Instant Images version 6.1.0 or earlier. Check your plugin version and upgrade immediately.
Upgrade Instant Images to version 6.1.1 or later to resolve the vulnerability. This is the recommended and most effective solution.
As of now, there are no confirmed reports of active exploitation, but the potential impact warrants immediate action.
Refer to the official Darren Cooney website and WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.