Plateforme
wordpress
Composant
energox
Corrigé dans
1.2.1
Une vulnérabilité d'accès arbitraire de fichiers (Path Traversal) a été découverte dans Energox, un plugin WordPress. Cette faille permet à un attaquant de contourner les restrictions d'accès et de lire des fichiers sensibles sur le serveur. Elle affecte les versions de Energox comprises entre 0.0.0 et 1.2. Une version corrigée, 1.3, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur WordPress hébergeant Energox. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des clés API, des mots de passe, ou même le code source du plugin lui-même. Un attaquant pourrait également accéder à des fichiers du système de fichiers, compromettant potentiellement l'intégrité et la confidentialité des données. Bien que la vulnérabilité ne permette pas directement l'exécution de code, l'accès à des fichiers de configuration pourrait révéler des informations permettant d'exploiter d'autres faiblesses du système.
Cette vulnérabilité a été publiée le 25 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour, ni de preuve de sa présence dans le catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible à modérée, compte tenu de la nécessité d'une connaissance du plugin et de sa configuration pour exploiter la faille.
Websites utilizing the Energox WordPress plugin in versions 0.0.0 through 1.2 are at risk. Shared hosting environments are particularly vulnerable, as they often have limited control over file permissions and server configurations. Administrators who have not regularly updated their WordPress plugins are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/energox/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/energox/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour Energox vers la version 1.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au répertoire d'installation du plugin via les paramètres du serveur web (par exemple, en utilisant un fichier .htaccess pour bloquer l'accès direct aux fichiers). Surveillez également les journaux d'accès du serveur web pour détecter des tentatives d'accès suspectes à des fichiers sensibles. Il n'existe pas de signature Sigma ou YARA spécifique pour cette vulnérabilité, mais la surveillance des tentatives d'accès à des fichiers en dehors du répertoire du plugin peut être utile.
Mettre à jour vers la version 1.3, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24970 is a vulnerability in the Energox WordPress plugin allowing attackers to read files outside of the intended directory through path manipulation. It has a CVSS score of 7.7 (HIGH).
Yes, if you are using Energox versions 0.0.0 through 1.2, you are affected by this vulnerability. Upgrade to version 1.3 or later to mitigate the risk.
The recommended fix is to upgrade the Energox plugin to version 1.3 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
As of now, there are no publicly known active exploitation campaigns targeting CVE-2026-24970, but the vulnerability's severity warrants immediate attention.
Refer to the Energox plugin's official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.