Plateforme
wordpress
Composant
salon-booking-system
Corrigé dans
9.9.1
Une vulnérabilité de traversal de chemin (path traversal) a été découverte dans le système de réservation de salon Salon Booking System. Cette faille permet une manipulation de fichiers non autorisée, potentiellement conduisant à la divulgation d'informations sensibles ou à l'exécution de code malveillant. Elle affecte les versions du système de réservation de salon antérieures ou égales à 9.9. Une version corrigée, 9.9.1, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu, contournant ainsi les mesures de sécurité. Un attaquant pourrait potentiellement lire des fichiers de configuration contenant des informations sensibles, telles que des mots de passe ou des clés API. Dans des scénarios plus graves, il pourrait même être possible d'écrire des fichiers dans des emplacements critiques, compromettant ainsi l'intégrité du système. Cette vulnérabilité présente un risque élevé, similaire à d'autres failles de traversal de chemin qui ont permis l'accès non autorisé à des données sensibles dans le passé.
La vulnérabilité CVE-2024-37231 a été rendue publique le 24 juin 2024. Aucune information concernant une exploitation active n'est disponible à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature relativement simple de la vulnérabilité de traversal de chemin et de sa potentielle facilité d'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
Organizations using the Salon Booking System plugin, particularly those with older versions (≤9.9) and those who haven't implemented robust file access controls, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one user's installation could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/salon-booking-system/• generic web:
curl -I http://your-salon-booking-system/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le système de réservation de salon vers la version 9.9.1, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au système de réservation de salon via un pare-feu ou un proxy inverse. Configurez des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des séquences de traversal de chemin, telles que '../' ou '\\'. Vérifiez après la mise à jour que l'accès aux fichiers sensibles est correctement restreint en tentant d'accéder à des fichiers en dehors du répertoire prévu.
Actualice el plugin Salon Booking System a la última versión disponible. La vulnerabilidad de eliminación arbitraria de archivos se ha corregido en versiones posteriores a la 9.9. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-37231 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a server running the Salon Booking System. It impacts versions up to 9.9.
You are affected if you are using Salon Booking System version 9.9 or earlier. Upgrade to 9.9.1 to mitigate the risk.
Upgrade to Salon Booking System version 9.9.1 or later. As a temporary workaround, restrict file access permissions or implement a WAF.
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Salon Booking System website or security advisory channels for the latest information and updates regarding CVE-2024-37231.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.