Plateforme
wordpress
Composant
wp-cookies-enabler
Corrigé dans
1.0.2
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le plugin WP Cookies Enabler. Cette faille permet à un attaquant d'inclure des fichiers PHP locaux, potentiellement compromettant la confidentialité et l'intégrité du serveur WordPress. Elle affecte les versions du plugin antérieures ou égales à 1.0.1 et une correction est disponible dans la version 1.0.2.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur web, y compris des fichiers de configuration sensibles, des clés API, des mots de passe ou même le code source de l'application WordPress. Un attaquant pourrait potentiellement obtenir un accès non autorisé à des données confidentielles, modifier le comportement du serveur ou exécuter du code malveillant. Bien que la vulnérabilité ne permette pas directement l'exécution de code à distance, elle peut servir de tremplin pour d'autres attaques, en particulier si des fichiers de configuration compromis contiennent des informations d'identification ou des clés d'accès.
Cette vulnérabilité est actuellement publique et pourrait être exploitée par des attaquants. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. La vulnérabilité a été publiée le 16 décembre 2024. Il n'est pas encore listé sur le KEV de CISA.
Websites using the WP Cookies Enabler plugin, particularly those running older versions (≤1.0.1), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites with weak file access permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-cookies-enabler/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/wp-cookies-enabler/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.18% (percentile 40%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour immédiatement le plugin WP Cookies Enabler vers la version 1.0.2 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre les permissions du répertoire du plugin ou d'utiliser un pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes. Surveillez attentivement les journaux d'accès et d'erreurs du serveur WordPress pour détecter toute activité inhabituelle, en particulier les tentatives d'accès à des fichiers non autorisés.
Actualice el plugin WP Cookies Enabler a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-54380 is a Path Traversal vulnerability in WP Cookies Enabler allowing attackers to potentially include arbitrary files, leading to sensitive information disclosure or code execution.
Yes, if you are using WP Cookies Enabler version 1.0.1 or earlier, you are affected by this vulnerability.
Upgrade WP Cookies Enabler to version 1.0.2 or later. As a temporary workaround, restrict file access permissions and implement WAF rules.
While no active exploitation has been widely reported, the vulnerability is well-understood and the plugin's popularity makes it a potential target.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.