Plateforme
wordpress
Composant
instant-chat-wp
Corrigé dans
1.0.6
Une vulnérabilité d'inclusion de fichier local (LFI) a été découverte dans le plugin Instant Chat Floating Button pour WordPress. Cette faille, due à une limitation incorrecte du chemin d'accès, permet à un attaquant d'inclure des fichiers PHP arbitraires sur le serveur. Elle affecte les versions du plugin antérieures ou égales à 1.0.5 et une mise à jour vers la version 1.0.6 corrige le problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code PHP arbitraire sur le serveur WordPress. Cela peut conduire à la prise de contrôle complète du site web, à la compromission des données sensibles, ou à l'injection de logiciels malveillants. L'attaquant pourrait potentiellement accéder à des fichiers de configuration, des bases de données, ou d'autres ressources sensibles stockées sur le serveur. La capacité d'inclure des fichiers arbitraires rend cette vulnérabilité particulièrement dangereuse, car elle contourne les mécanismes de sécurité standard.
Cette vulnérabilité a été rendue publique le 5 octobre 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour, mais la nature de la vulnérabilité (LFI) la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une interaction avec le plugin et de la complexité de l'exploitation.
WordPress websites utilizing the Instant Chat Floating Button plugin, particularly those running older versions (≤1.0.5), are at risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher density of potential targets.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/instant-chat-floating-button/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/instant-chat-floating-button/?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.30% (percentile 53%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour le plugin Instant Chat Floating Button vers la version 1.0.6 ou supérieure. En attendant la mise à jour, il est possible de limiter l'accès aux fichiers sensibles en modifiant les permissions du serveur. Il est également recommandé de mettre en place un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes. Vérifiez également les fichiers de configuration du serveur pour vous assurer qu'ils ne sont pas accessibles publiquement.
Actualice el plugin Instant Chat WP a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte la página del plugin en WordPress.org para obtener más información y actualizaciones.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-44018 is a Path Traversal vulnerability affecting the Instant Chat Floating Button plugin for WordPress, allowing attackers to potentially include arbitrary files.
You are affected if you are using Instant Chat Floating Button for WordPress Websites version 1.0.5 or earlier.
Upgrade the Instant Chat Floating Button plugin to version 1.0.6 or later. Consider temporary workarounds like restricting file access permissions and implementing WAF rules.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Check the Istmo Plugins website and WordPress plugin repository for updates and advisories related to CVE-2024-44018.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.