Plateforme
wordpress
Composant
users-control
Corrigé dans
1.0.17
La vulnérabilité CVE-2024-44015 représente une faille de Path Traversal (Inclusion de Fichiers Locaux) au sein du plugin Users Control. Cette faille permet à un attaquant d'inclure des fichiers locaux arbitraires sur le serveur, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions de Users Control inférieures ou égales à 1.0.16. Une version corrigée, 1.0.17, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers sensibles situés sur le serveur web, tels que des fichiers de configuration, des scripts PHP ou des données sensibles. L'attaquant pourrait potentiellement modifier ces fichiers pour exécuter du code malveillant, compromettre davantage le système ou voler des informations confidentielles. Le risque est exacerbé si le serveur web est configuré pour exécuter des scripts PHP, car l'attaquant pourrait alors exécuter du code arbitraire sur le serveur. Cette vulnérabilité est similaire à d'autres failles de Path Traversal où l'attaquant manipule les chemins d'accès pour accéder à des ressources non autorisées.
La vulnérabilité CVE-2024-44015 a été publiée le 5 octobre 2024. Aucune preuve d'exploitation active n'est actuellement disponible. Il n'y a pas d'entrée dans le KEV de CISA à ce jour. Des preuves de concept publiques sont susceptibles d'émerger rapidement, compte tenu de la nature relativement simple de l'exploitation des failles de Path Traversal.
WordPress websites using the Users Control plugin, particularly those running versions prior to 1.0.17, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server file permissions and configurations, making exploitation easier.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/users-control/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/users-control/../../../../etc/passwd | head -n 1disclosure
Statut de l'Exploit
EPSS
0.30% (percentile 53%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Users Control vers la version 1.0.17 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les droits d'accès au répertoire d'installation du plugin et en désactivant temporairement l'exécution de scripts PHP dans ce répertoire. Il est également recommandé de surveiller les journaux du serveur web pour détecter toute tentative d'accès non autorisé aux fichiers. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour vous assurer qu'ils n'ont pas été compromis.
Actualiza el plugin Users Control a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.0.16. Verifica que la versión actualizada esté instalada correctamente en tu sitio de WordPress.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-44015 is a Path Traversal vulnerability in the Users Control WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using Users Control version 1.0.16 or earlier. Upgrade to version 1.0.17 to resolve the vulnerability.
Upgrade the Users Control plugin to version 1.0.17 or later. Consider temporary workarounds like WAF rules and restricted file permissions if immediate upgrade isn't possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Check the Users Control plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.