MP3 Sticky Player <= 8.0 - Niet-geauthenticeerde Arbitraire Bestand Lees/Download

Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver. Dit omvat potentieel configuratiebestanden, database credentials, of andere vertrouwelijke data. De impact is aanzienlijk, omdat een aanvaller de mogelijkheid heeft om de integriteit van de website te compromitteren en de data te misbruiken. Het is vergelijkbaar met kwetsbaarheden waarbij een aanvaller via directory traversal toegang krijgt tot bestanden buiten de toegestane webroot.

WordPress websites utilizing the MP3 Sticky Player plugin, particularly those running versions prior to 8.0, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and server configurations. Sites that store sensitive data on the same server as the WordPress installation face a heightened risk of data exposure.

• wordpress / composer / npm:

wp plugin list | grep 'MP3 Sticky Player'

• wordpress / composer / npm:

wp plugin update MP3 Sticky Player --version=8.0

• generic web:

curl -I http://your-wordpress-site.com/wp-content/downloader.php?file=../../../../etc/passwd

• generic web: Check access logs for requests containing ../ sequences targeting downloader.php.

1. 2024-11-23Disclosure

   disclosure

1. Gereserveerd2024-11-04
2. Gepubliceerd2024-11-23
3. Gewijzigd2024-11-26
4. EPSS bijgewerkt2026-04-02

De primaire mitigatie is het upgraden van de MP3 Sticky Player plugin naar de gepatchte versie 8.0. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de 'content/downloader.php' file via een web application firewall (WAF) of door de permissies van de directory waarin deze file zich bevindt te beperken. Controleer de WordPress plugin directory op updates en volg de officiële beveiligingsadviezen van WordPress.