Plateforme
wordpress
Composant
ovic-import-demo
Corrigé dans
1.6.4
La vulnérabilité CVE-2024-35754 concerne un défaut d'accès arbitraire de fichier (Path Traversal) dans le plugin Ovic Importer pour WordPress. Cette faille permet à un attaquant de lire des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité des données. Elle affecte les versions du plugin Ovic Importer inférieures ou égales à 1.6.3. Une version corrigée, 1.6.4, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les restrictions d'accès aux fichiers sur le serveur WordPress. En manipulant les paramètres de l'importation, un attaquant peut potentiellement accéder à des fichiers de configuration, des données sensibles, ou même des fichiers exécutables. L'impact peut aller de la simple divulgation d'informations confidentielles à la prise de contrôle du serveur, en fonction des fichiers accessibles et des privilèges de l'attaquant. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis l'accès à des bases de données et des clés privées dans le passé.
Cette vulnérabilité a été rendue publique le 10 juin 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable. La probabilité d'exploitation est considérée comme moyenne, car elle ne nécessite pas d'authentification et peut être exploitée à distance. Il n'est pas répertorié sur le KEV de CISA à ce jour.
WordPress websites utilizing the Ovic Importer plugin, particularly those running older versions (≤1.6.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with misconfigured file permissions that allow the web server user to access sensitive files are at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ovic-importer/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/ovic-importer/../../../../etc/passwd' # Check for file accessdisclosure
Statut de l'Exploit
EPSS
0.78% (percentile 74%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Ovic Importer vers la version 1.6.4 ou supérieure. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Vérifiez les permissions des fichiers et des répertoires sur le serveur WordPress pour vous assurer qu'ils sont correctement restreints. Si possible, configurez un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de Path Traversal (../). Surveillez les journaux d'accès et d'erreurs du serveur pour détecter toute activité suspecte.
Actualice el plugin Ovic Importer a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de Path Traversal.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-35754 is a security vulnerability in Ovic Importer allowing attackers to read arbitrary files via path traversal. It's rated HIGH severity (CVSS 7.5) and affects versions up to 1.6.3.
You are affected if you are using Ovic Importer version 1.6.3 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade Ovic Importer to version 1.6.4 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There is currently no evidence of active exploitation, but it's crucial to apply the patch promptly to prevent potential future attacks.
Refer to the Ovic Importer project's official website or WordPress plugin repository for the latest security advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.