Plateforme
wordpress
Composant
vr-calendar-sync
Corrigé dans
2.4.1
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans VR Calendar, un plugin WordPress. Cette faille, affectant les versions inférieures ou égales à 2.4.0, permet une inclusion de fichiers locaux PHP, ouvrant la porte à la lecture de fichiers sensibles sur le serveur. La version 2.4.1 corrige cette vulnérabilité. Il est fortement recommandé de mettre à jour immédiatement.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur web hébergeant VR Calendar. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des fichiers de code source contenant des secrets, ou même des fichiers contenant des données utilisateur. Un attaquant pourrait potentiellement obtenir un accès non autorisé à des informations confidentielles, compromettre la sécurité du serveur et, dans certains cas, exécuter du code malveillant. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis l'accès à des bases de données et à des clés privées.
Cette vulnérabilité a été publiée le 5 octobre 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation. La CVSS score de 7.5 indique une probabilité d'exploitation modérée.
Websites utilizing the VR Calendar plugin, particularly those running older versions (≤2.4.0), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security. WordPress sites with weak file permission settings or inadequate input validation are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/vr-calendar/*• wordpress / composer / npm:
wp plugin list --status=active | grep vr-calendar• wordpress / composer / npm:
wp plugin update vr-calendar --alldisclosure
Statut de l'Exploit
EPSS
0.30% (percentile 53%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour VR Calendar vers la version 2.4.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au répertoire du plugin via les paramètres du serveur web. Vous pouvez également implémenter des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que '..' ou '/'. Sur un serveur WordPress, vérifiez les permissions des fichiers et dossiers pour vous assurer qu'ils sont correctement configurés et limitent l'accès aux utilisateurs autorisés. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour confirmer que la correction a été appliquée.
Actualice el plugin VR Calendar a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-44013 is a Path Traversal vulnerability in the VR Calendar WordPress plugin that allows attackers to include arbitrary files, potentially leading to code execution.
You are affected if you are using VR Calendar version 2.4.0 or earlier. Upgrade to version 2.4.1 to resolve the vulnerability.
Upgrade the VR Calendar plugin to version 2.4.1 or later. As a temporary workaround, restrict file access permissions and validate user input.
While no active exploitation campaigns have been confirmed, the vulnerability's nature suggests a potential for rapid exploitation.
Refer to the Innate Images LLC website and WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.