Panda Video <= 1.4.0 - Authenticated (Contributor+) Lokale Bestand Inclusie
Platform
wordpress
Component
pandavideo
Opgelost in
1.4.1
CVE-2024-5456 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de Panda Video plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te includeren en uit te voeren, wat kan leiden tot code-uitvoering. De kwetsbaarheid treft versies van Panda Video tot en met 1.4.0. Een patch is beschikbaar en wordt sterk aanbevolen.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot volledige controle over de webserver. Aanvallers met Contributor-niveau toegang of hoger kunnen PHP-code inladen en uitvoeren, waardoor ze gevoelige informatie kunnen stelen, de website kunnen manipuleren of zelfs de server kunnen compromitteren. Dit kan resulteren in dataverlies, reputatieschade en verstoring van de dienstverlening. De impact is vergelijkbaar met andere LFI-kwetsbaarheden waarbij de aanvallende code in een bestaand bestand kan worden ingevoegd en uitgevoerd, waardoor de noodzaak voor authenticatie of andere beveiligingsmaatregelen wordt omzeild.
Uitbuitingscontext
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in de NVD database op 2024-07-09. Er is geen informatie beschikbaar over actieve campagnes of KEV-status op het moment van schrijven. De CVSS score van 8.8 (HIGH) duidt op een significant risico.
Wie Loopt Risicowordt vertaald…
WordPress websites using the Panda Video plugin, particularly those with multiple users granted Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable, as attackers may be able to upload malicious files more easily.
Detectiestappenwordt vertaald…
• wordpress / composer / npm:
grep -r 'selected_button' /var/www/html/wp-content/plugins/panda-video/• wordpress / composer / npm:
wp plugin list --status=inactive | grep panda-video• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/panda-video/ | grep selected_buttonAanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.58% (69% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Laag — elk geldig gebruikersaccount is voldoende.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
- Availability
- Hoog — volledige crash of uitputting van resources. Totale denial of service.
Getroffen Software
Pakketinformatie
- Actieve installaties
- 4KNiche
- Plugin-beoordeling
- 0.0
- Compatibel tot
- 6.5.8
- Vereist PHP
- 7.0+
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie is het upgraden van de Panda Video plugin naar een beveiligde versie. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van gebruikers met Contributor-niveau toegang. Daarnaast kan het implementeren van een Web Application Firewall (WAF) met regels om verdachte file inclusion pogingen te blokkeren helpen. Controleer ook de WordPress configuratie op onnodige permissies en zorg ervoor dat uploads beperkt zijn tot veilige bestandstypen. Na de upgrade, controleer de server logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het testen van de 'selected_button' parameter met veilige invoer.
Hoe te verhelpenwordt vertaald…
Actualice el plugin Panda Video a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragenwordt vertaald…
What is CVE-2024-5456 — LFI in Panda Video WordPress Plugin?
CVE-2024-5456 is a Local File Inclusion vulnerability affecting the Panda Video WordPress plugin versions up to 1.4.0, allowing authenticated attackers to execute arbitrary PHP code.
Am I affected by CVE-2024-5456 in Panda Video WordPress Plugin?
You are affected if you are using the Panda Video plugin version 1.4.0 or earlier. Check your plugin version and upgrade immediately if necessary.
How do I fix CVE-2024-5456 in Panda Video WordPress Plugin?
Upgrade the Panda Video plugin to the latest available version. Check the vendor's website for the updated version.
Is CVE-2024-5456 being actively exploited?
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants close monitoring.
Where can I find the official Panda Video advisory for CVE-2024-5456?
Check the Panda Video plugin's official website or the WordPress plugin repository for the advisory and updated version.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.