Plateforme
wordpress
Composant
page-builder-add
Corrigé dans
1.5.3
La vulnérabilité CVE-2024-43345 est une faille de type Path Traversal découverte dans le plugin Landing Page Builder. Cette faille permet à un attaquant d'inclure des fichiers PHP locaux, potentiellement compromettant la confidentialité et l'intégrité du serveur. Elle affecte les versions du plugin antérieures ou égales à 1.5.2.0 et a été corrigée dans la version 1.5.3.
Un attaquant exploitant cette vulnérabilité peut inclure des fichiers PHP arbitraires situés sur le serveur web. Cela permet potentiellement de lire des fichiers de configuration sensibles contenant des mots de passe, des clés API ou d'autres informations confidentielles. Dans le pire des cas, un attaquant pourrait même exécuter du code malveillant sur le serveur si le fichier inclus contient du code PHP malveillant. L'exploitation réussie de cette vulnérabilité pourrait entraîner une compromission complète du serveur WordPress et de toutes les données qu'il contient. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable.
Cette vulnérabilité a été publiée le 19 août 2024. Elle n'a pas encore été ajoutée au KEV de CISA, et il n'existe pas de preuves d'exploitation active à ce jour. Cependant, la nature de la vulnérabilité (Path Traversal) est bien connue et facilement exploitable, ce qui augmente le risque d'exploitation future. Il est donc important de prendre des mesures de mitigation rapidement.
WordPress websites utilizing the PluginOps Landing Page Builder plugin, particularly those running versions prior to 1.5.3, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server file permissions, increasing the potential impact of a successful exploit.
• wordpress / plugin:
wp plugin list | grep Landing Page Builder• wordpress / plugin: Check for file inclusion attempts in WordPress access logs, looking for patterns like ../ or ../../ in the request URI.
• wordpress / plugin: Examine the Landing Page Builder plugin's code for instances of filegetcontents or similar functions that handle user-supplied input without proper sanitization.
disclosure
Statut de l'Exploit
EPSS
0.70% (percentile 72%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation la plus importante est de mettre à jour le plugin Landing Page Builder vers la version 1.5.3 ou ultérieure. En attendant la mise à jour, il est possible de renforcer la sécurité du serveur en limitant les droits d'accès aux fichiers et répertoires sensibles. Il est également recommandé de désactiver temporairement le plugin si la mise à jour n'est pas possible immédiatement. Vérifiez également les règles de votre pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des caractères de manipulation de chemin (../). Après la mise à jour, vérifiez l'intégrité des fichiers du plugin en comparant leur checksum avec les valeurs fournies par le développeur.
Actualice el plugin Landing Page Builder a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.5.2.0. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Landing Page Builder' para actualizarlo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-43345 is a Path Traversal vulnerability in the PluginOps Landing Page Builder plugin for WordPress, allowing attackers to potentially include arbitrary PHP files.
Yes, if you are using Landing Page Builder version 1.5.2.0 or earlier, you are affected by this vulnerability.
Upgrade the Landing Page Builder plugin to version 1.5.3 or later to remediate the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
As of the current date, there are no known public exploits or active campaigns targeting this vulnerability, but the HIGH CVSS score warrants immediate attention.
Refer to the PluginOps website or WordPress plugin repository for the official advisory and update information regarding CVE-2024-43345.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.