Plateforme
wordpress
Composant
ultimate-classified-listings
Corrigé dans
1.4.1
La vulnérabilité CVE-2024-52448 représente un contournement de chemin (Path Traversal) critique découvert dans le plugin WordPress Ultimate Classified Listings. Cette faille permet à un attaquant d'inclure des fichiers locaux PHP, compromettant potentiellement la confidentialité et l'intégrité du serveur. Elle affecte les versions du plugin inférieures ou égales à 1.4 et a été corrigée dans la version 1.4.1.
Un attaquant exploitant avec succès cette vulnérabilité peut inclure des fichiers arbitraires situés sur le serveur web. Cela pourrait permettre l'accès à des informations sensibles telles que des fichiers de configuration, des clés API, ou même des fichiers sources du plugin lui-même. En accédant à ces fichiers, un attaquant pourrait obtenir un contrôle significatif sur le serveur, y compris la modification de données, l'exécution de code malveillant, ou l'obtention d'un accès non autorisé à d'autres systèmes connectés. Bien qu'il n'y ait pas de rapports d'exploitation active connus à ce jour, la facilité d'exploitation de cette vulnérabilité en fait une cible attrayante pour les acteurs malveillants.
Cette vulnérabilité a été publiée le 20 novembre 2024. Elle n'a pas encore été ajoutée au KEV de CISA. Bien qu'aucun exploit public n'ait été divulgué à ce jour, la nature simple de l'exploitation rend probable son utilisation dans des attaques ciblées. Il est recommandé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
WordPress websites utilizing the Ultimate Classified Listings plugin, particularly those running versions 1.4 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable, as are sites with outdated or unmanaged WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-classified-listings/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/ultimate-classified-listings/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.22% (percentile 44%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour immédiatement Ultimate Classified Listings vers la version 1.4.1 ou supérieure. Si la mise à jour n'est pas possible en raison de problèmes de compatibilité, envisagez de désactiver temporairement le plugin. En attendant la mise à jour, il est possible de renforcer la sécurité du serveur en limitant les droits d'accès aux fichiers et répertoires, et en configurant un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des caractères de contournement de chemin. Surveillez attentivement les journaux du serveur pour détecter toute activité inhabituelle.
Actualice el plugin Ultimate Classified Listings a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de inclusión de archivos locales.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-52448 is a Path Traversal vulnerability in the Ultimate Classified Listings WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Ultimate Classified Listings version 1.4 or earlier, you are affected by this vulnerability.
Upgrade to version 1.4.1 or later to remediate the vulnerability. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the WebCodingPlace website and WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.