Plateforme
wordpress
Composant
wp-newsletter-subscription
Corrigé dans
1.1.1
Une vulnérabilité d'inclusion de fichier local (LFI) a été découverte dans le plugin WP Newsletter Subscription. Cette faille, due à une limitation incorrecte du chemin d'accès, permet à un attaquant d'inclure des fichiers arbitraires sur le serveur, potentiellement conduisant à l'exécution de code PHP à distance. La vulnérabilité affecte les versions du plugin inférieures ou égales à 1.1 et a été corrigée dans la version 1.1.1.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'inclure des fichiers sensibles présents sur le serveur web, tels que des fichiers de configuration, des fichiers de code source ou des fichiers de logs. En incluant des fichiers contenant du code PHP, l'attaquant peut exécuter du code arbitraire sur le serveur, compromettant ainsi l'ensemble de l'application WordPress. Le risque est particulièrement élevé si le serveur web est configuré avec des permissions permissives, permettant l'écriture de fichiers dans des répertoires accessibles au plugin. Cette vulnérabilité pourrait être exploitée pour obtenir un accès non autorisé aux données sensibles, modifier le contenu du site web ou même prendre le contrôle complet du serveur.
Cette vulnérabilité est publique depuis le 5 octobre 2024. Bien qu'il n'y ait pas de preuves d'exploitation active à ce jour, la nature de la vulnérabilité (LFI) la rend facilement exploitable. La présence de preuves de concept publiques pourrait accélérer son exploitation. Il est conseillé de surveiller les forums de sécurité et les sites de partage de vulnérabilités pour détecter toute nouvelle information.
Websites using the WP Newsletter Subscription plugin, particularly those running older versions (≤1.1), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin configurations and security measures. Sites with weak file permissions or inadequate server-level security configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-newsletter-subscription/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-newsletter-subscription/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.30% (percentile 53%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation la plus efficace consiste à mettre à jour immédiatement le plugin WP Newsletter Subscription vers la version 1.1.1 ou supérieure. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les permissions d'écriture sur les fichiers et répertoires accessibles au plugin. Il est également recommandé de surveiller les logs du serveur web pour détecter toute tentative d'inclusion de fichiers suspects. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le plugin pour réduire la surface d'attaque.
Actualice el plugin WP Newsletter Subscription a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Revise las configuraciones del plugin para asegurar que no haya opciones que permitan la inclusión de archivos locales.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-44012 is a Path Traversal vulnerability in the WP Newsletter Subscription plugin that allows attackers to potentially include arbitrary files on the server, leading to sensitive data exposure or code execution.
You are affected if you are using WP Newsletter Subscription version 1.1 or earlier. Upgrade to version 1.1.1 to resolve the vulnerability.
Upgrade the WP Newsletter Subscription plugin to version 1.1.1 or later. As a temporary workaround, restrict access to the plugin directory using your web server configuration.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation makes it a potential target for attackers.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.