Plateforme
wordpress
Composant
pluginpass-pro-plugintheme-licensing
Corrigé dans
0.9.11
La vulnérabilité CVE-2024-54291 représente un défaut d'accès arbitraire de fichiers (Path Traversal) au sein du plugin PluginPass pour WordPress. Cette faille permet à un attaquant de manipuler les entrées web pour accéder à des fichiers sensibles sur le système de fichiers du serveur. Elle affecte les versions de PluginPass inférieures ou égales à 0.9.10 et a été corrigée dans la version 0.9.11.
Un attaquant exploitant avec succès cette vulnérabilité peut lire des fichiers sensibles situés en dehors du répertoire web prévu, tels que des fichiers de configuration, des clés API ou même des données sensibles stockées sur le serveur. L'accès non autorisé à ces fichiers peut conduire à la divulgation d'informations confidentielles, à la compromission du système ou à l'exécution de code malveillant. Le potentiel d'impact est élevé, car la vulnérabilité permet un accès direct au système de fichiers, contournant potentiellement les mesures de sécurité habituelles. Bien que des exemples d'exploitation spécifiques ne soient pas encore largement documentés, les vulnérabilités de type Path Traversal sont souvent exploitées pour obtenir un accès non autorisé et compromettre la sécurité d'un serveur.
La vulnérabilité CVE-2024-54291 a été publiée le 28 mars 2025. Aucune information sur une exploitation active n'est disponible à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature courante des vulnérabilités de type Path Traversal et de la disponibilité potentielle de preuves de concept. Il est recommandé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
WordPress websites using the PluginPass plugin, particularly those running versions 0.9.10 or earlier, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and file permissions. Websites with legacy PluginPass installations or those that haven't performed regular plugin updates are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/pluginpass/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/pluginpass/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep pluginpass• wordpress / composer / npm:
wp plugin update pluginpassdisclosure
Statut de l'Exploit
EPSS
0.24% (percentile 48%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour PluginPass vers la version 0.9.11 ou supérieure, qui inclut la correction. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en œuvre des mesures de sécurité temporaires. Ces mesures peuvent inclure la configuration d'un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des séquences de Path Traversal (par exemple, ../). De plus, assurez-vous que les permissions des fichiers et des répertoires sur le serveur sont correctement configurées pour limiter l'accès aux fichiers sensibles. Vérifiez après la mise à jour que l'accès aux fichiers sensibles est bien restreint et que la vulnérabilité est corrigée.
Actualice el plugin PluginPass a la última versión disponible. La vulnerabilidad permite la descarga y eliminación arbitraria de archivos, por lo que es crucial actualizar lo antes posible. Consulte la página del plugin en el repositorio de WordPress para obtener la versión más reciente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-54291 is a HIGH severity vulnerability in PluginPass affecting versions up to 0.9.10. It allows attackers to read files on the server through path traversal.
You are affected if you are using PluginPass version 0.9.10 or earlier. Check your plugin version and update immediately.
Upgrade PluginPass to version 0.9.11 or later. If immediate upgrade is not possible, restrict file access permissions and implement WAF rules.
Currently, there are no confirmed active exploits, but the vulnerability's nature makes it a potential target.
Refer to the PluginPass project's official website or repository for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.