Plateforme
wordpress
Composant
wp-event-solution
Corrigé dans
4.0.9
Une vulnérabilité d'Inclusion Locale de Fichiers (LFI) a été découverte dans le plugin Eventin pour WordPress, affectant les versions jusqu'à 4.0.8. Cette faille permet à des attaquants authentifiés, disposant d'un accès de niveau Contributeur ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur. Le plugin Eventin, utilisé pour la gestion d'événements, de calendriers, de billets et d'inscriptions, est largement déployé, ce qui rend cette vulnérabilité préoccupante.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code PHP arbitraire sur le serveur WordPress. Cela peut conduire à une compromission complète du site web, y compris le vol de données sensibles, la modification du contenu, l'installation de portes dérobées et l'utilisation du serveur pour lancer d'autres attaques. L'attaquant peut contourner les contrôles d'accès et potentiellement obtenir un contrôle total sur l'environnement WordPress. La capacité d'inclure des fichiers arbitraires rend cette vulnérabilité particulièrement dangereuse, car elle peut être exploitée pour accéder à des fichiers de configuration contenant des informations d'identification sensibles ou pour exécuter du code malveillant directement sur le serveur.
Cette vulnérabilité est actuellement publique et pourrait être activement exploitée. Il n'y a pas d'indications d'une inclusion dans le KEV (Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme élevée en raison de la simplicité de l'exploitation et de la large utilisation du plugin Eventin. Des preuves de concept (PoC) peuvent être disponibles publiquement, ce qui facilite l'exploitation par des acteurs malveillants.
Websites utilizing the Eventin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unable to implement effective mitigation measures beyond plugin updates.
• wordpress / composer / npm:
grep -r 'style=' /var/www/html/wp-content/plugins/eventin/• wordpress / composer / npm:
wp plugin list | grep eventin• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
Statut de l'Exploit
EPSS
0.71% (percentile 72%)
CISA SSVC
Vecteur CVSS
La mesure d'atténuation la plus efficace est de mettre à jour le plugin Eventin vers la dernière version corrigée, dès que celle-ci sera disponible. En attendant, des mesures temporaires peuvent être prises pour réduire le risque. Il est recommandé de restreindre les droits d'accès des utilisateurs au niveau minimum requis. Des règles de pare-feu d'application web (WAF) peuvent être configurées pour bloquer les requêtes suspectes contenant des paramètres de style malveillants. Surveillez attentivement les journaux du serveur WordPress pour détecter toute activité suspecte, en particulier les tentatives d'inclusion de fichiers non autorisés. Il est également conseillé de désactiver temporairement le plugin si la mise à jour n'est pas immédiatement possible.
Actualice el plugin Eventin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes autenticados ejecutar código PHP arbitrario en el servidor. La actualización corrige esta vulnerabilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-7149 is a Local File Inclusion vulnerability in the Eventin WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Eventin plugin versions 4.0.8 or earlier. Check your plugin version and upgrade as soon as a patch is available.
Upgrade the Eventin plugin to the latest version as soon as a patch is released by the vendor. Until then, restrict file upload permissions and implement input validation.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests active exploitation is possible.
Check the Eventin plugin website and WordPress plugin repository for the official advisory and patch release.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.