Plateforme
wordpress
Composant
pandavideo
Corrigé dans
1.4.1
Le plugin Panda Video pour WordPress est vulnérable à une Inclusion Locale de Fichier (LFI) dans toutes les versions jusqu'à et y compris 1.4.0. Cette faille, exploitée via le paramètre 'selected_button', permet à des attaquants authentifiés, disposant d'un accès de niveau Contributeur ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur. L'exploitation réussie peut mener à la compromission du serveur et à la divulgation de données sensibles.
L'impact de cette vulnérabilité est significatif. Un attaquant authentifié, avec un simple accès Contributeur, peut exploiter la LFI pour exécuter du code PHP arbitraire sur le serveur WordPress. Cela permet de contourner les contrôles d'accès, d'obtenir des informations sensibles stockées sur le serveur (fichiers de configuration, mots de passe, clés API) et potentiellement de prendre le contrôle complet du serveur. La capacité d'inclure des fichiers arbitraires signifie que même des images ou d'autres types de fichiers considérés comme sûrs peuvent être utilisés pour exécuter du code malveillant. Cette vulnérabilité présente un risque élevé de compromission du système.
Cette vulnérabilité est actuellement publique et présente un risque modéré d'exploitation. Bien qu'il n'y ait pas de preuves d'exploitation active à grande échelle, la simplicité de l'exploitation et la large utilisation des plugins WordPress en font une cible attrayante pour les attaquants. Il est probable que des preuves de concept (PoC) publiques soient disponibles ou seront développées prochainement. Surveillez les sources d'informations sur les vulnérabilités et les forums de sécurité pour les mises à jour.
WordPress websites using the Panda Video plugin, particularly those with multiple users granted Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable, as attackers may be able to upload malicious files more easily.
• wordpress / composer / npm:
grep -r 'selected_button' /var/www/html/wp-content/plugins/panda-video/• wordpress / composer / npm:
wp plugin list --status=inactive | grep panda-video• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/panda-video/ | grep selected_buttondisclosure
Statut de l'Exploit
EPSS
0.58% (percentile 69%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Panda Video vers une version corrigée, dès qu'elle sera disponible. En attendant, plusieurs mesures d'atténuation peuvent être mises en œuvre. Il est fortement recommandé de restreindre les droits d'accès des utilisateurs au niveau minimum nécessaire. De plus, la configuration du serveur web pour désactiver l'exécution de PHP dans les répertoires où les fichiers de plugin sont stockés peut réduire le risque. Surveillez attentivement les journaux du serveur pour détecter toute tentative d'inclusion de fichiers suspects. Enfin, l'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes malveillantes exploitant cette vulnérabilité.
Actualice el plugin Panda Video a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-5456 is a Local File Inclusion vulnerability affecting the Panda Video WordPress plugin versions up to 1.4.0, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using the Panda Video plugin version 1.4.0 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Panda Video plugin to the latest available version. Check the vendor's website for the updated version.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants close monitoring.
Check the Panda Video plugin's official website or the WordPress plugin repository for the advisory and updated version.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.