Plateforme
wordpress
Composant
mh-board
Corrigé dans
1.3.3
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le plugin MH Board pour WordPress. Cette faille, affectant les versions inférieures ou égales à 1.3.2.1, permet à un attaquant d'inclure des fichiers locaux PHP, potentiellement compromettant la sécurité du serveur. La mise à jour vers la version 1.3.3 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers sensibles situés sur le serveur web. En incluant des fichiers PHP arbitraires, un attaquant pourrait exécuter du code malveillant, compromettre l'intégrité du site WordPress et potentiellement obtenir un accès non autorisé aux données des utilisateurs. Le risque est aggravé si des informations d'identification sensibles sont stockées dans des fichiers accessibles via cette faille. Cette vulnérabilité est similaire à d'autres failles de Path Traversal où l'attaquant manipule les chemins d'accès pour accéder à des ressources non autorisées.
Cette vulnérabilité a été publiée le 2 octobre 2024. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne en raison de la popularité du plugin MH Board et de la facilité relative d'exploitation des failles de Path Traversal. Aucune mention sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour.
WordPress websites utilizing the MH Board plugin, particularly those running versions prior to 1.3.3, are at risk. Shared hosting environments where users have limited control over plugin configurations are especially vulnerable, as are websites with outdated or unpatched WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/mh-board/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/mh-board/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.30% (percentile 53%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin MH Board vers la version 1.3.3 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre les permissions du répertoire du plugin pour limiter l'accès aux fichiers. Il est également recommandé de mettre en place une WAF (Web Application Firewall) configurée pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que '..' ou '/', dans les chemins d'accès aux fichiers. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins ou le thème WordPress.
Actualice el plugin MH Board a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.3.2.1. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-44017 is a Path Traversal vulnerability in the MH Board WordPress plugin that allows attackers to include arbitrary files, potentially leading to code execution.
You are affected if you are using MH Board version 1.3.2.1 or earlier. Upgrade to version 1.3.3 to resolve the issue.
Upgrade the MH Board plugin to version 1.3.3 or later. If immediate upgrade is not possible, implement temporary workarounds like WAF rules and file permission restrictions.
While no active exploitation has been confirmed, the vulnerability is likely to be targeted given its ease of exploitation. Monitor for signs of compromise.
Refer to the MH Board plugin's official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.