Plateforme
wordpress
Composant
booking-ultra-pro
Corrigé dans
1.1.14
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans Booking Ultra Pro Appointments Booking Calendar. Cette faille permet une inclusion de fichier local PHP, potentiellement donnant à un attaquant un accès non autorisé aux fichiers du serveur. Elle affecte les versions du plugin comprises entre les versions non spécifiées et 1.1.13. Une version corrigée, 1.1.14, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur web. En manipulant les paramètres de l'application, un attaquant peut inclure des fichiers sensibles, tels que des fichiers de configuration, des fichiers de code source ou même des fichiers contenant des informations d'identification. Cela pourrait conduire à la divulgation d'informations confidentielles, à la prise de contrôle du serveur ou à l'exécution de code malveillant. Le risque est exacerbé si le serveur web est configuré pour autoriser l'exécution de code PHP à partir de zones non sécurisées. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis l'accès à des données sensibles dans le passé.
Cette vulnérabilité a été rendue publique le 12 juillet 2024. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. Aucune entrée n'est visible sur le KEV de CISA. Des preuves de concept (PoC) pourraient être disponibles publiquement, ce qui pourrait augmenter le risque d'exploitation.
WordPress websites utilizing the Booking Ultra Pro Appointments plugin, particularly those running versions prior to 1.1.14, are at risk. Shared hosting environments where WordPress installations have limited control over file permissions are especially vulnerable. Sites with weak server configurations or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/booking-ultra-pro-appointments/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/booking-ultra-pro-appointments/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
1.23% (percentile 79%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour Booking Ultra Pro Appointments Booking Calendar vers la version 1.1.14 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au répertoire du plugin via les paramètres du serveur web. Il est également possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que '..' ou '/'. Surveillez attentivement les journaux du serveur web pour détecter toute tentative d'accès non autorisé aux fichiers.
Actualice el plugin Booking Ultra Pro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-38717 is a Path Traversal vulnerability in the Booking Ultra Pro Appointments WordPress plugin, allowing attackers to potentially include arbitrary files.
Yes, if you are using Booking Ultra Pro Appointments version 1.1.13 or earlier, you are affected by this vulnerability.
Upgrade the Booking Ultra Pro Appointments plugin to version 1.1.14 or later to resolve this vulnerability.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.