Plateforme
wordpress
Composant
wp-fastest-cache
Corrigé dans
1.2.7
La vulnérabilité CVE-2024-4347 affecte le plugin WP Fastest Cache pour WordPress, permettant un accès arbitraire de fichiers. Cette faille permet à un attaquant authentifié de supprimer des fichiers sensibles sur le serveur, compromettant potentiellement la sécurité du site web. Les versions concernées sont celles inférieures ou égales à 1.2.6. Une mise à jour vers une version corrigée est recommandée.
L'impact de cette vulnérabilité est significatif, car elle permet à un attaquant authentifié de supprimer des fichiers arbitraires sur le serveur. Cela inclut potentiellement le fichier wp-config.php, qui contient des informations d'identification sensibles de la base de données. La compromission de ce fichier permettrait à l'attaquant de prendre le contrôle total du site WordPress. Dans un environnement d'hébergement partagé, cette vulnérabilité pourrait également permettre à un attaquant de supprimer des fichiers appartenant à d'autres sites web hébergés sur le même serveur, augmentant ainsi la surface d'attaque. Cette vulnérabilité exploite une faille de traversal de répertoire dans la fonction specificDeleteCache.
Cette vulnérabilité a été rendue publique le 23 mai 2024. Il n'y a pas d'indication d'exploitation active à ce jour. Aucun PoC public n'a été largement diffusé. La vulnérabilité est actuellement en cours d'évaluation par les équipes de sécurité WordPress et les fournisseurs d'hébergement.
WordPress websites using the WP Fastest Cache plugin, particularly those hosted on shared hosting environments, are at risk. Sites with weak user authentication or those that haven't implemented proper access controls are especially vulnerable. Legacy WordPress installations with outdated plugins are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep "WP Fastest Cache"• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r "specificDeleteCache" /var/www/html/wp-content/plugins/wp-fastest-cache/• generic web: Check WordPress plugin directory for updates and security advisories related to WP Fastest Cache.
disclosure
Statut de l'Exploit
EPSS
5.50% (percentile 90%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour WP Fastest Cache vers une version corrigée dès que possible. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est possible de restreindre les permissions du répertoire où le plugin est installé pour limiter l'accès aux fichiers. De plus, une configuration appropriée du serveur web peut aider à prévenir l'accès non autorisé aux fichiers sensibles. Vérifiez après la mise à jour que la fonction specificDeleteCache n'est plus accessible via une requête web et que les permissions des fichiers sont correctement configurées.
Actualice el plugin WP Fastest Cache a la última versión disponible. La vulnerabilidad que permite el borrado arbitrario de archivos se ha corregido en versiones posteriores a la 1.2.6.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-4347 is a vulnerability in WP Fastest Cache versions up to 1.2.6 that allows authenticated attackers to delete arbitrary files on the server, potentially compromising the site or shared hosting environment.
You are affected if you are using WP Fastest Cache version 1.2.6 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the WP Fastest Cache plugin to a version newer than 1.2.6. If upgrading is not immediately possible, implement temporary mitigations like restricting file access permissions and using a WAF.
There is currently no confirmed active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the WP Fastest Cache official website and WordPress plugin directory for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.