Plateforme
wordpress
Composant
maxslider
Corrigé dans
1.2.4
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le plugin MaxSlider pour WordPress. Cette faille permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité et l'intégrité du serveur. Elle affecte les versions du plugin MaxSlider inférieures ou égales à 1.2.3. Une version corrigée, 1.2.4, est désormais disponible.
La vulnérabilité de contournement de chemin dans MaxSlider permet à un attaquant d'exploiter une faille de sécurité pour accéder à des fichiers sensibles sur le serveur web. En manipulant les requêtes HTTP, un attaquant peut potentiellement lire des fichiers de configuration, des données sensibles des utilisateurs, ou même exécuter du code malveillant si le serveur est mal configuré. L'impact peut être significatif, allant de la divulgation d'informations confidentielles à la prise de contrôle complète du serveur. Cette vulnérabilité est similaire à d'autres failles de contournement de chemin qui ont été exploitées dans le passé pour compromettre des systèmes web.
Cette vulnérabilité a été publiée le 16 octobre 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation. Il est donc crucial de mettre en œuvre les mesures de mitigation rapidement.
WordPress websites utilizing the MaxSlider plugin, particularly those running older versions (≤1.2.3), are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may be less able to implement workarounds or monitor for suspicious activity. Sites with sensitive data stored on the same server are also at heightened risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/maxslider/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/maxslider/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep maxslider• wordpress / composer / npm:
wp plugin update maxsliderdisclosure
Statut de l'Exploit
EPSS
0.29% (percentile 53%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin MaxSlider vers la version 1.2.4 ou supérieure. Si la mise à jour n'est pas possible immédiatement, il est recommandé de restreindre l'accès au répertoire du plugin via les paramètres du serveur web. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation de cette vulnérabilité en filtrant les requêtes malveillantes. Vérifiez après la mise à jour que le plugin est correctement mis à jour et qu'il n'y a pas de conflits avec d'autres plugins.
Actualiza el plugin MaxSlider a la última versión disponible. Si no hay una versión más reciente, considera deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Verifica que el plugin esté actualizado regularmente para evitar futuras vulnerabilidades.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-47351 is a Path Traversal vulnerability affecting the MaxSlider WordPress plugin, allowing attackers to read arbitrary files on the server.
You are affected if you are using MaxSlider version 1.2.3 or earlier. Upgrade to version 1.2.4 to resolve the vulnerability.
Upgrade the MaxSlider plugin to version 1.2.4 or later. Consider temporary workarounds like WAF rules and file access restrictions if immediate upgrade is not possible.
As of now, there are no known public exploits or active campaigns targeting CVE-2024-47351, but proactive patching is still recommended.
Refer to the CSSIgniter Team's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.