Plateforme
wordpress
Composant
event-post
Corrigé dans
5.9.6
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans N.O.U.S. Event post, permettant une inclusion de fichier local PHP. Cette faille permet à un attaquant de lire des fichiers arbitraires sur le serveur, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions de N.O.U.S. Event post inférieures ou égales à 5.9.5. Une correction est disponible dans la version 5.9.6.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'inclure des fichiers locaux arbitraires sur le serveur. Cela peut conduire à la divulgation de données sensibles, telles que des fichiers de configuration, des codes sources ou des informations d'identification. Un attaquant pourrait également modifier le comportement de l'application en incluant des fichiers malveillants, ce qui pourrait entraîner une prise de contrôle complète du serveur. Le risque est particulièrement élevé si le serveur héberge des données critiques ou est utilisé pour traiter des informations sensibles des utilisateurs. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis l'accès non autorisé à des systèmes et des données.
Cette vulnérabilité a été rendue publique le 12 juillet 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne en raison de la facilité potentielle d'identification et d'exploitation de cette classe de vulnérabilité. Aucune mention dans le KEV catalogue à ce jour.
WordPress websites utilizing the N.O.U.S. Event post plugin, particularly those running versions prior to 5.9.6, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server file permissions and configurations. Sites with weak security practices or outdated plugins are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/event-post/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/event-post/../../../../etc/passwd"• wordpress / composer / npm:
wp plugin list --status=inactive• wordpress / composer / npm:
wp plugin update event-postdisclosure
Statut de l'Exploit
EPSS
2.21% (percentile 84%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour N.O.U.S. Event post vers la version 5.9.6 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en place, telles que la restriction des permissions d'accès aux fichiers et répertoires sensibles. Il est également possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des caractères de contournement de chemin. Vérifiez après la mise à jour que les permissions des fichiers et répertoires sont correctement configurées et que l'application ne peut pas accéder à des fichiers non autorisés.
Actualice el plugin Event post a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se soluciona en versiones posteriores a la 5.9.5. Consulte la documentación del plugin para obtener instrucciones detalladas sobre cómo actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-38735 is a Path Traversal vulnerability in the N.O.U.S. Event post WordPress plugin, allowing attackers to potentially read arbitrary files on the server.
You are affected if you are using N.O.U.S. Event post version 5.9.5 or earlier. Upgrade to version 5.9.6 to resolve the issue.
Upgrade the N.O.U.S. Event post plugin to version 5.9.6. As a temporary workaround, restrict file access permissions and validate user input.
There is currently no confirmed active exploitation, but the vulnerability's nature makes it likely that exploits will emerge.
Refer to the N.O.U.S. website or the WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.