Plateforme
wordpress
Composant
globe-gateway-e4
Corrigé dans
2.0.1
Une vulnérabilité d'accès arbitraire de fichier, également connue sous le nom de Path Traversal, a été découverte dans Global Gateway e4 | Payeezy Gateway. Cette faille permet à un attaquant de contourner les restrictions d'accès aux fichiers et de lire des fichiers sensibles sur le serveur. Elle affecte les versions du logiciel inférieures ou égales à 2.0. Une version corrigée, 2.0.1, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur hébergeant Global Gateway e4 | Payeezy Gateway. Cela peut inclure des fichiers de configuration contenant des informations d'identification sensibles, des clés API, des données de base de données ou d'autres informations confidentielles. L'attaquant pourrait potentiellement obtenir un accès non autorisé à des données sensibles, compromettre la sécurité du système et mener des attaques ultérieures. Le risque est amplifié si le serveur est mal configuré ou si des fichiers sensibles sont stockés dans des répertoires accessibles via cette vulnérabilité. Une exploitation réussie pourrait avoir des conséquences graves pour la confidentialité et l'intégrité des données.
Cette vulnérabilité a été rendue publique le 14 novembre 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Bien qu'aucune preuve d'exploitation publique ne soit disponible, la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable par des acteurs malveillants. La probabilité d'exploitation est considérée comme moyenne en raison de la facilité potentielle d'exploitation et de l'impact potentiel.
WordPress websites utilizing the Global Gateway e4 | Payeezy Gateway plugin, particularly those running versions 2.0 or earlier, are at significant risk. Shared hosting environments where file permissions are not strictly controlled are also more vulnerable, as an attacker could potentially leverage this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/global-gateway-e4-payeezy-gateway/• generic web:
curl -I 'https://your-website.com/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.22% (percentile 44%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour Global Gateway e4 | Payeezy Gateway vers la version 2.0.1 ou supérieure. En attendant la mise à jour, des mesures temporaires peuvent être prises, telles que la restriction des autorisations d'accès aux fichiers et répertoires sensibles. Il est également recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des séquences de path traversal (../). Surveillez attentivement les journaux du serveur pour détecter toute activité suspecte et configurez des alertes pour les tentatives d'accès non autorisées aux fichiers.
Actualice el plugin Global Gateway e4 | Payeezy Gateway a una versión posterior a la 2.0. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-52371 is a HIGH severity vulnerability allowing attackers to read files on a server through path manipulation. It affects Global Gateway e4 | Payeezy Gateway versions up to 2.0.
If you are using Global Gateway e4 | Payeezy Gateway version 2.0 or earlier, you are potentially affected. Upgrade to 2.0.1 to mitigate the risk.
Upgrade to version 2.0.1 of the Global Gateway e4 | Payeezy Gateway plugin. If upgrading is not immediately possible, implement file access controls and WAF rules.
While no active exploitation is confirmed, the vulnerability's nature suggests it could be exploited once a proof-of-concept is released.
Refer to the vendor's official security advisory for the most up-to-date information and guidance: [DonnellC Security Advisory - Replace with actual link when available]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.