Plateforme
wordpress
Composant
striking-r
Corrigé dans
2.3.5
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le plugin Striking pour WordPress. Cette faille permet à un attaquant de potentiellement accéder à des fichiers sensibles sur le serveur. Elle affecte les versions du plugin Striking antérieures ou égales à la version 2.3.4. Une version corrigée, la 2.3.5, est désormais disponible.
La vulnérabilité de contournement de chemin dans Striking permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu. En manipulant les paramètres de l'application, un attaquant peut potentiellement lire des fichiers de configuration, des données sensibles, ou même exécuter du code malveillant si le serveur est mal configuré. L'impact peut être significatif, allant de la divulgation d'informations confidentielles à la prise de contrôle complète du serveur WordPress. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans authentification, rendant les sites WordPress vulnérables à des attaques.
Cette vulnérabilité a été rendue publique le 9 juillet 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature relativement simple de l'exploitation et de la popularité du plugin Striking. Aucun ajout au KEV n'est connu à ce jour.
WordPress websites utilizing the Striking plugin, particularly those running older versions (≤2.3.4), are at risk. Shared hosting environments where file system permissions are less tightly controlled are especially vulnerable. Sites with weak security configurations or inadequate input validation practices are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/striking/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/striking/../../../../etc/passwd' # Check for sensitive file accessdisclosure
Statut de l'Exploit
EPSS
1.08% (percentile 78%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Striking vers la version 2.3.5 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre l'accès au répertoire du plugin via les paramètres du serveur web (par exemple, en utilisant un fichier .htaccess pour bloquer l'accès direct aux fichiers sensibles). Sur les serveurs web, configurez des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des séquences de caractères suspectes (../). Vérifiez également les permissions des fichiers et répertoires du plugin pour vous assurer qu'ils sont correctement configurés et limités aux seuls utilisateurs autorisés. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour confirmer qu'ils n'ont pas été compromis.
Actualice el tema Striking a una versión posterior a la 2.3.4. Si no hay una versión disponible, considere deshabilitar o reemplazar el tema con una alternativa segura. Consulte la documentación del tema o al proveedor para obtener instrucciones específicas de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-37268 is a Path Traversal vulnerability affecting the Striking WordPress plugin, allowing attackers to access arbitrary files on the server.
You are affected if you are using Striking WordPress plugin versions 2.3.4 or earlier. Upgrade to 2.3.5 or later to resolve the vulnerability.
Upgrade the Striking WordPress plugin to version 2.3.5 or later. Implement temporary workarounds like restricting file access and validating user input if immediate upgrade is not possible.
No active exploitation campaigns have been confirmed, but the vulnerability's nature suggests a potential for rapid exploitation if a PoC is released.
Refer to the Striking plugin's official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.