Plateforme
wordpress
Composant
frontend-dashboard
Corrigé dans
2.2.5
La vulnérabilité CVE-2024-8268 affecte le plugin Frontend Dashboard pour WordPress. Elle permet une exécution de code non autorisée en raison d'un filtrage insuffisant des méthodes/fonctions appelables via la fonction ajax_request(). Cette faille permet à des attaquants authentifiés, ayant un accès de niveau abonné ou supérieur, d'appeler des fonctions arbitraires, pouvant être utilisées pour une escalade de privilèges, notamment en modifiant les mots de passe des utilisateurs. Les versions affectées sont celles inférieures ou égales à 2.2.4. Une correction est disponible dans la version 2.2.5.
L'impact de cette vulnérabilité est significatif. Un attaquant authentifié, même avec un simple compte d'abonné, peut exploiter cette faille pour exécuter du code arbitraire sur le serveur WordPress. Cela peut permettre de prendre le contrôle complet du site web, de voler des données sensibles, de modifier le contenu, ou d'installer des logiciels malveillants. L'escalade de privilèges, en modifiant les mots de passe des utilisateurs, permettrait à l'attaquant de se faire passer pour d'autres utilisateurs, y compris des administrateurs, amplifiant ainsi l'impact de l'attaque. Cette vulnérabilité est similaire à d'autres failles d'exécution de code non autorisée dans les plugins WordPress, où un manque de validation des entrées permet à un attaquant d'injecter et d'exécuter du code malveillant.
Le CVE-2024-8268 a été publié le 10 septembre 2024. Il n'est pas encore répertorié sur le KEV de CISA, ni est-il connu pour être activement exploité à grande échelle. Cependant, la nature de la vulnérabilité (exécution de code non autorisée) et sa facilité d'exploitation (authentification de base requise) en font une cible potentielle pour les attaquants. La présence de PoCs publiques est probable, ce qui pourrait augmenter le risque d'exploitation dans les semaines à venir.
Websites using the Frontend Dashboard plugin, particularly those with subscriber-level users who have access to the frontend dashboard functionality, are at risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'ajax_request(' /var/www/html/wp-content/plugins/frontend-dashboard/• wordpress / composer / npm:
wp plugin list --status=active | grep 'frontend-dashboard'• wordpress / composer / npm:
wp plugin update frontend-dashboard --version=2.2.5• generic web: Check WordPress plugin directory for reports of exploitation or discussions related to CVE-2024-8268.
disclosure
Statut de l'Exploit
EPSS
0.36% (percentile 58%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Frontend Dashboard vers la version 2.2.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le plugin Frontend Dashboard. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des comptes d'abonné et en mettant en place une surveillance accrue des activités suspectes sur le site WordPress. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une règle générale de validation des entrées et de filtrage des requêtes AJAX pourrait aider à atténuer le risque. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en tentant une requête AJAX avec des paramètres malveillants et en vous assurant qu'elle est correctement filtrée.
Actualice el plugin Frontend Dashboard a la versión 2.2.5 o superior. Esta versión contiene una corrección para la vulnerabilidad de ejecución de código arbitrario. La actualización se puede realizar desde el panel de administración de WordPress.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-8268 is a Remote Code Execution vulnerability in the Frontend Dashboard WordPress plugin, allowing authenticated subscribers to execute arbitrary code.
You are affected if you are using the Frontend Dashboard plugin version 2.2.4 or earlier.
Upgrade the Frontend Dashboard plugin to version 2.2.5 or later to resolve the vulnerability.
While no confirmed active exploitation campaigns are known, the vulnerability's ease of exploitation makes it a potential target.
Refer to the Frontend Dashboard plugin's official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.