Plateforme
wordpress
Composant
maxi-blocks
Corrigé dans
1.9.3
Une vulnérabilité d'accès arbitraire de fichiers a été découverte dans le plugin WordPress MaxiBlocks: 2200+ Patterns, 190 Pages, 14.2K Icons & 100 Styles. Cette faille, due à une validation insuffisante des chemins de fichiers, permet à des attaquants authentifiés de supprimer des fichiers sensibles sur le serveur. Les versions affectées sont celles inférieures ou égales à 1.9.2. Une mise à jour vers une version corrigée est recommandée.
L'impact de cette vulnérabilité est significatif. Un attaquant authentifié, même avec un accès de niveau Abonné, peut exploiter cette faille pour supprimer des fichiers arbitraires sur le serveur WordPress. La suppression du fichier wp-config.php, qui contient des informations d'identification sensibles à la base de données, permettrait à l'attaquant de prendre le contrôle complet du site web et d'exécuter du code à distance. Cette situation est particulièrement préoccupante car elle ne nécessite qu'un accès limité au site WordPress. Des attaques similaires, exploitant des failles de gestion de fichiers, ont conduit à des compromissions majeures de sites web dans le passé, soulignant la nécessité d'une correction rapide.
Cette vulnérabilité a été rendue publique le 23 juillet 2024. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'un accès authentifié, mais la simplicité de l'exploitation pourrait entraîner une augmentation de l'activité. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement.
WordPress websites utilizing the MaxiBlocks plugin, particularly those with Subscriber-level users or higher who have access to plugin settings, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Websites with outdated plugin versions are at the highest risk.
• wordpress / composer / npm:
wp plugin list | grep MaxiBlocks• wordpress / composer / npm:
wp plugin update MaxiBlocks• wordpress / composer / npm:
grep -r 'maxi_remove_custom_image_size' /var/www/html/wp-content/plugins/maxi-blocks/• wordpress / composer / npm:
grep -r 'maxi_add_custom_image_size' /var/www/html/wp-content/plugins/maxi-blocks/disclosure
Statut de l'Exploit
EPSS
7.87% (percentile 92%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin MaxiBlocks vers une version corrigée. Si la mise à jour est problématique, envisagez de revenir à une version précédente stable du plugin, si disponible. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs WordPress et en mettant en place des règles de pare-feu d'application web (WAF) pour bloquer les requêtes suspectes ciblant les fonctions maxiremovecustomimagesize et maxiaddcustomimagesize. Surveillez également les journaux du serveur pour détecter toute tentative d'accès ou de suppression de fichiers non autorisée.
Actualice el plugin MaxiBlocks a la última versión disponible. La vulnerabilidad que permite la eliminación arbitraria de archivos ha sido corregida en versiones posteriores a la 1.9.2. Esto evitará que usuarios autenticados con privilegios de suscriptor o superiores puedan explotar esta vulnerabilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-6885 is a vulnerability allowing authenticated attackers to delete arbitrary files on a WordPress server through the MaxiBlocks plugin, potentially leading to remote code execution.
You are affected if you are using the MaxiBlocks plugin in versions 1.9.2 or earlier. Check your plugin version and upgrade immediately.
Upgrade the MaxiBlocks plugin to a version higher than 1.9.2. Consider implementing WAF rules and restricting file permissions as temporary mitigations.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for active campaigns. Monitor your systems closely.
Refer to the official MaxiBlocks plugin website or WordPress plugin repository for the latest security advisories and updates related to CVE-2024-6885.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.