Plateforme
wordpress
Composant
wishlist-member-x
Corrigé dans
3.26.7
3.26.7
La vulnérabilité CVE-2024-37108 affecte le plugin Wishlist Member pour WordPress. Elle se manifeste par un accès arbitraire aux fichiers, résultant d'une validation insuffisante des chemins d'accès aux fichiers. Cette faille permet à des attaquants authentifiés, disposant d'un accès de niveau Abonné ou supérieur, de supprimer des fichiers arbitraires sur le serveur, ouvrant potentiellement la voie à une exécution de code à distance. Les versions concernées sont celles inférieures ou égales à 3.26.7. Une version corrigée, 3.26.7, est désormais disponible.
L'impact de cette vulnérabilité est significatif. Un attaquant authentifié, avec un simple accès de niveau Abonné, peut exploiter cette faille pour supprimer des fichiers critiques sur le serveur WordPress. La suppression de fichiers de configuration sensibles, tels que wp-config.php, permet à l'attaquant de compromettre l'ensemble de l'installation WordPress. L'exécution de code à distance devient alors possible, permettant à l'attaquant de prendre le contrôle du serveur, d'injecter du code malveillant, de voler des données sensibles, ou de modifier le contenu du site web. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite qu'un niveau d'accès relativement bas pour être exploitée.
Cette vulnérabilité a été rendue publique le 20 juin 2024. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de la popularité du plugin Wishlist Member. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
WordPress websites utilizing the Wishlist Member plugin, particularly those running versions prior to 3.26.7, are at risk. Shared hosting environments are especially vulnerable, as they often have limited file permission controls and a higher density of WordPress installations, increasing the potential attack surface. Sites with legacy WordPress configurations or those that haven't implemented robust security practices are also at heightened risk.
• wordpress / composer / npm:
grep -r 'wishlist_member_delete_file' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=active | grep Wishlist Member• wordpress / composer / npm:
wp plugin update wishlist-member --version=3.26.7• generic web:
Check WordPress access logs for requests containing suspicious file paths or deletion attempts targeting sensitive files like wp-config.php.
disclosure
Statut de l'Exploit
EPSS
0.28% (percentile 52%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Wishlist Member vers la version 3.26.7 ou supérieure. Si la mise à jour est problématique, envisagez de restaurer une sauvegarde antérieure à l'installation de la version vulnérable. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs à un minimum nécessaire. Bien qu'il n'existe pas de règles WAF spécifiques à cette vulnérabilité, une surveillance accrue des tentatives de suppression de fichiers sensibles (wp-config.php, .htaccess) est recommandée. Après la mise à jour, vérifiez l'intégrité des fichiers WordPress et assurez-vous que les permissions des fichiers et des répertoires sont correctement configurées.
Mettre à jour vers la version 3.26.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-37108 is a vulnerability in the Wishlist Member WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution if critical files are deleted.
You are affected if your WordPress site uses the Wishlist Member plugin and is running a version prior to 3.26.7. Check your plugin version immediately.
Upgrade the Wishlist Member plugin to version 3.26.7 or later. If immediate upgrade is not possible, implement temporary mitigations like restricting file permissions and using a WAF.
As of June 2024, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the Wishlist Member website and WordPress plugin repository for the latest security advisory and update information regarding CVE-2024-37108.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.