Plateforme
wordpress
Composant
bitformpro
Corrigé dans
2.6.5
Une vulnérabilité d'accès arbitraire de fichier (Path Traversal) a été découverte dans Bit Form Pro, permettant la manipulation de fichiers. Cette faille affecte les versions de Bit Form Pro antérieures ou égales à la version 2.6.4. Une mise à jour vers la version 2.6.5 corrige cette vulnérabilité.
Cette vulnérabilité permet à un attaquant d'accéder à des fichiers sensibles situés en dehors du répertoire prévu, potentiellement sur le serveur web. L'attaquant pourrait ainsi récupérer des informations confidentielles, modifier des fichiers système ou même exécuter du code malveillant si les permissions le permettent. Le risque est d'autant plus élevé si le serveur héberge d'autres applications ou données sensibles. Une exploitation réussie pourrait compromettre l'intégrité et la confidentialité des données stockées sur le serveur.
Cette vulnérabilité a été publiée le 19 août 2024. Il n'y a pas d'indications d'exploitation active à ce jour, ni de PoC publiquement disponibles. La vulnérabilité est considérée comme ayant une probabilité d'exploitation moyenne en raison de sa nature de Path Traversal, souvent exploitable avec des outils automatisés.
WordPress websites utilizing Bit Form Pro, particularly those with older versions (≤2.6.4) and those that haven't implemented robust file upload security measures, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/bit-form-pro/*• generic web:
curl -I 'http://your-website.com/wp-content/plugins/bit-form-pro/path/../sensitive_file.txt' # Check for 200 OK responsedisclosure
Statut de l'Exploit
EPSS
0.25% (percentile 48%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour Bit Form Pro vers la version 2.6.5 ou supérieure. En attendant la mise à jour, une mesure temporaire consiste à restreindre les permissions d'accès aux fichiers et répertoires du serveur web. Il est également possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des séquences de caractères permettant de contourner les contrôles de sécurité (par exemple, ../). Surveillez attentivement les logs du serveur web pour détecter toute activité suspecte.
Actualice el plugin Bit Form Pro a la última versión disponible. La vulnerabilidad permite la eliminación arbitraria de archivos, por lo que es crucial actualizar para proteger su sitio web. Verifique que la versión actualizada sea posterior a la 2.6.4.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-43248 is a vulnerability in Bit Form Pro allowing attackers to manipulate files. It has a HIGH severity rating and affects versions up to 2.6.4.
You are affected if you are using Bit Form Pro version 2.6.4 or earlier. Check your version and upgrade immediately.
Upgrade Bit Form Pro to version 2.6.5 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a potential for active exploitation.
Refer to the Bit Apps security advisory for detailed information and updates: [https://bit-apps.net/security/](https://bit-apps.net/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.