Plateforme
wordpress
Composant
wp-timelines
Corrigé dans
3.6.8
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le plugin WP Timeline – Vertical et Horizontal timeline pour WordPress. Cette faille permet à un attaquant d'inclure des fichiers PHP locaux, compromettant potentiellement la sécurité du serveur. Elle affecte les versions du plugin antérieures ou égales à 3.6.7. Une version corrigée, 3.6.8, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers sensibles sur le serveur WordPress, potentiellement contenant des informations confidentielles telles que des mots de passe, des clés API ou des données de configuration. L'attaquant pourrait également exécuter du code arbitraire sur le serveur, compromettant ainsi l'intégrité et la disponibilité du site web. Le contournement de chemin est une technique courante utilisée pour accéder à des ressources non autorisées, et dans ce cas, l'inclusion de fichiers PHP locaux ouvre la porte à une prise de contrôle significative du serveur. Une exploitation réussie pourrait mener à une compromission complète du site WordPress et de ses données.
Cette vulnérabilité a été rendue publique le 5 octobre 2024. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature publique de la vulnérabilité et de la disponibilité d'un correctif. Il est conseillé de surveiller les forums de sécurité et les rapports de vulnérabilités pour toute activité suspecte.
Websites using the WP Timeline – Vertical and Horizontal timeline plugin, particularly those running older versions (≤3.6.7), are at risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher density of vulnerable plugins.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-timeline/• wordpress / composer / npm:
wp plugin list --status=inactive | grep timeline• wordpress / composer / npm:
wp plugin update wp-timeline --all• generic web: Check WordPress plugin directory for mentions of the vulnerability and associated IOCs.
disclosure
Statut de l'Exploit
EPSS
0.22% (percentile 44%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation la plus efficace consiste à mettre à jour le plugin WP Timeline – Vertical et Horizontal timeline vers la version 3.6.8 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre les permissions du répertoire du plugin ou de désactiver temporairement le plugin. Il est également recommandé de mettre en place un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes visant à exploiter cette vulnérabilité. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes.
Actualice el plugin WP Timeline a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad y protege su sitio web.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-47324 is a Path Traversal vulnerability in the WP Timeline plugin allowing attackers to include arbitrary files, potentially leading to code execution. It affects versions up to 3.6.7.
You are affected if you are using the WP Timeline plugin version 3.6.7 or earlier. Check your plugin version and upgrade immediately.
Upgrade the WP Timeline plugin to version 3.6.8 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file access.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation makes it a likely target. Monitor your systems for suspicious activity.
Refer to the Ex-Themes website and WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.