Plateforme
wordpress
Composant
ekc-tournament-manager
Corrigé dans
2.2.2
Une vulnérabilité CSRF (Cross-Site Request Forgery) a été découverte dans EKC Tournament Manager, affectant les versions inférieures ou égales à 2.2.1. Cette faille permet à un attaquant de télécharger une Web Shell sur le serveur web, compromettant potentiellement la sécurité de l'application et du serveur. La mise à jour vers la version 2.2.2 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant d'effectuer des actions au nom d'un utilisateur authentifié sans son consentement. Dans ce cas précis, l'attaquant peut télécharger une Web Shell sur le serveur web. Une Web Shell est un script malveillant qui permet à l'attaquant de contrôler le serveur à distance, d'exécuter des commandes arbitraires, de voler des données sensibles et de compromettre d'autres systèmes sur le réseau. Le risque est aggravé par le fait que l'attaquant n'a pas besoin d'informations d'identification valides pour exploiter cette vulnérabilité, seulement d'une victime authentifiée et d'une connaissance du fonctionnement de l'application.
Cette vulnérabilité a été rendue publique le 31 octobre 2024. Il n'y a pas d'indications d'exploitation active à ce jour, ni de présence sur le KEV de CISA. Bien que des preuves de concept publiques ne soient pas encore largement disponibles, la sévérité critique de la vulnérabilité et la facilité potentielle d'exploitation la rendent une cible attrayante pour les attaquants.
Websites utilizing EKC Tournament Manager, particularly those with limited security controls or shared hosting environments, are at significant risk. Sites with outdated plugin versions and those lacking robust input validation are especially vulnerable.
• wordpress / composer / npm:
grep -r 'EKC Tournament Manager' /var/www/html/
wp plugin list• generic web:
curl -I https://your-website.com/wp-content/plugins/ekc-tournament-manager/disclosure
Statut de l'Exploit
EPSS
0.12% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour EKC Tournament Manager vers la version 2.2.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de désactiver temporairement le téléversement de fichiers si possible. Implémenter des protections CSRF robustes, telles que des jetons CSRF uniques pour chaque formulaire et action critique, peut également aider à atténuer le risque. Vérifiez après la mise à jour que les jetons CSRF sont correctement générés et validés pour toutes les actions sensibles.
Mettez à jour le plugin EKC Tournament Manager vers la dernière version disponible. Si aucune version n'est disponible, envisagez de désactiver le plugin jusqu'à ce qu'une version corrigée soit publiée. Consultez le site web du développeur pour plus d'informations et de mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-49674 décrit une vulnérabilité CSRF dans EKC Tournament Manager, permettant le téléversement d'une Web Shell. Elle affecte les versions ≤2.2.1 et est classée comme critique (CVSS 9.6).
Vous êtes affecté si vous utilisez EKC Tournament Manager dans une version inférieure ou égale à 2.2.1. Vérifiez votre version et mettez à jour si nécessaire.
La solution est de mettre à jour EKC Tournament Manager vers la version 2.2.2 ou supérieure. Si la mise à jour n'est pas possible immédiatement, appliquez des mesures de mitigation temporaires.
À ce jour, il n'y a pas d'indications d'exploitation active, mais la sévérité de la vulnérabilité suggère qu'elle pourrait devenir une cible.
Consultez le site web officiel d'EKC Tournament Manager ou leurs canaux de communication pour obtenir l'avis officiel concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.