Plateforme
wordpress
Composant
abcapp-creator
Corrigé dans
1.1.3
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans ABCApp Creator, permettant une inclusion de fichiers locaux PHP. Cette faille permet à un attaquant d'accéder à des fichiers sensibles sur le serveur. Elle affecte les versions d'ABCApp Creator antérieures ou égales à 1.1.2 et a été corrigée dans la version 1.1.3.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur, potentiellement contenant des informations confidentielles telles que des mots de passe, des clés API, ou des données sensibles des utilisateurs. Un attaquant pourrait également inclure des fichiers malveillants pour compromettre davantage le système. Le risque est accru si le serveur héberge d'autres applications ou services, car l'attaquant pourrait potentiellement utiliser cette vulnérabilité comme point de départ pour des attaques plus larges. Cette vulnérabilité rappelle les risques associés à l'inclusion de fichiers non validés, où un attaquant peut manipuler les chemins d'accès pour accéder à des ressources non autorisées.
Cette vulnérabilité a été publiée le 5 octobre 2024. Il n'y a pas d'indication actuelle d'une exploitation active à grande échelle, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne en raison de la facilité potentielle d'exploitation et de l'impact potentiel. Aucune mention sur le KEV à ce jour.
Websites utilizing ABCApp Creator, particularly those running older versions (≤1.1.2), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and file permissions. Sites with misconfigured file access controls or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/abcapp-creator/*• generic web:
curl -I 'http://your-website.com/index.php?page=../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep abcapp-creator• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/abcapp-creator/ -name '*.php' -print0 | xargs -0 grep -i 'include('disclosure
Statut de l'Exploit
EPSS
0.87% (percentile 75%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour ABCApp Creator vers la version 1.1.3 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. Vérifiez les permissions des fichiers et des répertoires pour vous assurer que seuls les utilisateurs autorisés ont accès en lecture. Si possible, désactivez temporairement l'accès public aux répertoires sensibles. Mettez en œuvre des règles de pare-feu d'application web (WAF) pour bloquer les requêtes contenant des caractères de contournement de chemin (par exemple, '..'). Après la mise à jour, vérifiez l'intégrité des fichiers pour confirmer que la correction a été appliquée correctement.
Actualice el plugin ABCApp Creator a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-44023 is a Path Traversal vulnerability in ABCApp Creator allowing PHP Local File Inclusion, potentially exposing sensitive data.
You are affected if you are using ABCApp Creator versions 1.1.2 or earlier. Upgrade to 1.1.3 to resolve the issue.
Upgrade ABCApp Creator to version 1.1.3 or later. Implement file access controls and WAF rules as temporary mitigations.
While no public exploits are currently known, the vulnerability's nature makes exploitation likely. Monitor your systems for suspicious activity.
Refer to the ABCApp Creator official website or security advisory channels for the latest information and updates regarding this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.