Plateforme
wordpress
Composant
embedpress
Corrigé dans
4.0.10
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le plugin WordPress EmbedPress. Cette faille permet à un attaquant d'inclure des fichiers PHP locaux, potentiellement compromettant le serveur web. Elle affecte les versions du plugin inférieures ou égales à 4.0.9. Une mise à jour vers la version 4.0.10 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers sensibles situés sur le serveur web, tels que des fichiers de configuration, des clés API ou des données de base de données. Dans le pire des cas, un attaquant pourrait exécuter du code arbitraire sur le serveur, compromettant ainsi l'ensemble de l'application WordPress et les données qu'elle contient. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée à distance sans authentification, ce qui augmente considérablement sa portée et son impact potentiel. L'inclusion de fichiers PHP locaux ouvre la porte à une prise de contrôle complète du serveur, permettant à l'attaquant de modifier le contenu du site web, d'injecter du code malveillant ou de voler des informations confidentielles.
Cette vulnérabilité a été rendue publique le 19 août 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Bien qu'il n'y ait pas de preuve d'exploitation, la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable et pourrait attirer l'attention des attaquants. Il est donc important de prendre des mesures pour atténuer le risque.
Websites utilizing the EmbedPress plugin, particularly those running older versions (≤4.0.9), are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable, as are sites with misconfigured PHP environments that allow for arbitrary file inclusion.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/embedpress/• wordpress / composer / npm:
wp plugin list --status=active | grep embedpress• wordpress / composer / npm:
wp plugin update embedpress --alldisclosure
Statut de l'Exploit
EPSS
1.18% (percentile 79%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin EmbedPress vers la version 4.0.10 ou supérieure. En attendant la mise à jour, il est possible de restreindre l'accès aux fichiers sensibles sur le serveur web en modifiant les permissions des fichiers et des répertoires. Il est également recommandé de désactiver temporairement le plugin EmbedPress si la mise à jour n'est pas possible immédiatement. Pour une protection supplémentaire, configurez un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que '..' ou '/', dans les chemins d'accès aux fichiers. Après la mise à jour, vérifiez que le plugin fonctionne correctement et qu'il n'y a pas de nouvelles vulnérabilités.
Actualiza el plugin EmbedPress a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 4.0.9. Para actualizar, ve al panel de administración de WordPress, luego a la sección de 'Plugins' y busca 'EmbedPress'. Haz clic en 'Actualizar' si hay una versión más reciente disponible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-43328 is a Path Traversal vulnerability in the EmbedPress WordPress plugin allowing attackers to potentially include arbitrary files, leading to sensitive data exposure or code execution.
Yes, if you are using EmbedPress version 4.0.9 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade the EmbedPress plugin to version 4.0.10 or later to resolve the vulnerability. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the EmbedPress website and WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.