Plateforme
wordpress
Composant
filester
Corrigé dans
1.8.6
1.8.6
Une vulnérabilité d'inclusion de fichier JavaScript local (JSFI) a été découverte dans le plugin Filester pour WordPress. Cette faille, affectant les versions jusqu'à 1.8.5, permet à des attaquants authentifiés, disposant d'un accès d'administrateur ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur. La version 1.8.6 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié d'injecter et d'exécuter du code JavaScript malveillant sur le serveur WordPress. Cela peut conduire à un contournement des contrôles d'accès, à la compromission de données sensibles, et potentiellement à l'exécution de code arbitraire, en particulier si l'attaquant peut télécharger des images ou d'autres types de fichiers considérés comme sûrs et les inclure ensuite. Le risque est amplifié si le serveur WordPress est utilisé pour héberger des applications web critiques ou des données sensibles, car l'attaquant pourrait exploiter cette faille pour compromettre l'ensemble du système. Une exploitation réussie pourrait également permettre à l'attaquant de modifier le contenu du site web, d'installer des logiciels malveillants ou de lancer des attaques contre d'autres systèmes sur le réseau.
Cette vulnérabilité est actuellement publique. Il n'y a pas d'indications d'une exploitation active à grande échelle, mais la disponibilité d'une preuve de concept (PoC) rend l'exploitation potentiellement possible. La vulnérabilité a été publiée le 27 novembre 2024. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter toute nouvelle information sur l'exploitation de cette faille.
WordPress websites utilizing the Filester plugin, particularly those with administrator accounts that have not been secured with strong passwords and multi-factor authentication, are at risk. Shared hosting environments where plugin updates are not managed centrally are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'fm_locale' /var/www/html/wp-content/plugins/filester/• wordpress / composer / npm:
wp plugin list --status=all | grep filester• wordpress / composer / npm:
wp plugin update filester --alldisclosure
Statut de l'Exploit
EPSS
0.13% (percentile 32%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin Filester vers la version 1.8.6 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs WordPress et en désactivant temporairement les fonctionnalités de téléchargement de fichiers si elles ne sont pas essentielles. Il est également recommandé de mettre en place un pare-feu d'application web (WAF) pour filtrer les requêtes malveillantes et bloquer les tentatives d'inclusion de fichiers non autorisés. Surveillez attentivement les journaux du serveur WordPress pour détecter toute activité suspecte, comme des tentatives d'accès à des fichiers non autorisés.
Mettre à jour vers la version 1.8.6, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-9669 is a vulnerability in the Filester WordPress plugin allowing authenticated admins to include and execute arbitrary files, potentially leading to code execution.
You are affected if you are using Filester version 1.8.5 or earlier. Upgrade to 1.8.6 to resolve the vulnerability.
Upgrade the Filester plugin to version 1.8.6 or later. If immediate upgrade isn't possible, restrict file upload permissions and consider a WAF.
While no confirmed active exploitation campaigns are currently known, the vulnerability's ease of exploitation makes it a potential target.
Refer to the official Filester plugin documentation and WordPress security announcements for the latest information and advisory regarding CVE-2024-9669.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.