Plateforme
wordpress
Composant
timeline-and-history-slider
Corrigé dans
2.3.1
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le composant Timeline and History slider du plugin WP OnlineSupport, Essential Plugin. Cette faille permet une inclusion de fichiers locaux PHP, offrant potentiellement à un attaquant un accès non autorisé aux fichiers sensibles du serveur. Elle affecte les versions du plugin inférieures ou égales à 2.3. Une version corrigée, 2.3.1, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'inclure des fichiers arbitraires sur le serveur web. Cela peut conduire à la divulgation d'informations sensibles, telles que des fichiers de configuration, des clés API ou des données utilisateur. Dans le pire des cas, un attaquant pourrait même exécuter du code malveillant sur le serveur, compromettant ainsi l'ensemble de l'application WordPress. La capacité d'inclusion de fichiers locaux ouvre la porte à une prise de contrôle significative du système, similaire à des attaques où des fichiers de configuration sensibles sont compromis pour modifier le comportement de l'application.
Cette vulnérabilité est publique depuis le 19 août 2024. Bien qu'il n'y ait pas de preuves d'exploitation active à ce jour, la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable. Il est probable que des preuves de concept (PoC) soient rapidement disponibles. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
WordPress websites utilizing the WP OnlineSupport Timeline and History slider plugin, particularly those running versions prior to 2.3.1, are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/timeline-and-history-slider/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/timeline-and-history-slider/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.77% (percentile 73%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour le plugin WP OnlineSupport, Essential Plugin Timeline and History slider vers la version 2.3.1 ou supérieure. En attendant la mise à jour, il est possible de restreindre les permissions du répertoire contenant le plugin pour limiter l'accès aux fichiers. Il est également recommandé de désactiver temporairement le plugin si la mise à jour n'est pas immédiatement possible. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes.
Actualiza el plugin Timeline and History slider a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-43232 is a Path Traversal vulnerability in the WP OnlineSupport Timeline and History slider plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using WP OnlineSupport Timeline and History slider version 2.3 or earlier. Upgrade to 2.3.1 to resolve the issue.
Upgrade the WP OnlineSupport Timeline and History slider plugin to version 2.3.1 or later. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
While no confirmed active exploitation has been publicly reported, the vulnerability's ease of exploitation suggests it is a potential target for attackers.
Refer to the WP OnlineSupport website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.