Platform
wordpress
Component
ultimate-video-player
Opgelost in
10.0.1
CVE-2024-10804 beschrijft een Arbitrary File Access kwetsbaarheid in de Ultimate Video Player WordPress & WooCommerce plugin. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden op de server te lezen, wat kan leiden tot blootstelling van gevoelige informatie. De kwetsbaarheid treft alle versies van de plugin tot en met 10.0. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van CVE-2024-10804 kan aanzienlijke gevolgen hebben. Een aanvaller kan toegang krijgen tot configuratiebestanden, database credentials, broncode en andere gevoelige gegevens die op de server zijn opgeslagen. Dit kan leiden tot verdere compromittering van het systeem, zoals het verkrijgen van controle over de WordPress-installatie, het uitvoeren van schadelijke code of het stelen van gebruikersgegevens. De impact is vergelijkbaar met andere directory traversal kwetsbaarheden die toegang tot kritieke systeembestanden mogelijk maken.
Op dit moment is er geen publieke exploitatie van CVE-2024-10804 bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). Er zijn geen actieve campagnes gerapporteerd. De publicatiedatum van de CVE is 2025-03-07, wat aangeeft dat de kwetsbaarheid recentelijk is ontdekt en gepubliceerd.
Websites utilizing the Ultimate Video Player plugin, particularly those running older versions (≤10.0), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over file permissions and server configurations. WordPress sites with sensitive data stored on the same server are also at increased risk.
• wordpress / composer / npm:
grep -r 'content/downloader.php' /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/content/downloader.php | grep -i 'content-type'• wordpress / composer / npm:
wp plugin list | grep "Ultimate Video Player"disclosure
Exploit Status
EPSS
2.55% (85% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-10804 is het upgraden van de Ultimate Video Player WordPress plugin naar de meest recente beveiligde versie. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de content/downloader.php file via een Web Application Firewall (WAF) of door de permissies van de file te wijzigen. Controleer ook de WordPress-installatie op verdachte bestanden of wijzigingen die kunnen wijzen op een succesvolle exploitatie. Na de upgrade, controleer de serverlogs op ongebruikelijke activiteit.
Actualice el plugin Ultimate Video Player WordPress & WooCommerce Plugin a la última versión disponible. Esto solucionará la vulnerabilidad de descarga de archivos arbitrarios no autenticada.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-10804 is a vulnerability in the Ultimate Video Player WordPress plugin allowing unauthenticated attackers to read arbitrary files on the server via the content/downloader.php file, rated as CVSS 7.5 (HIGH).
You are affected if you are using the Ultimate Video Player WordPress plugin version 10.0 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Ultimate Video Player WordPress plugin to the latest version, which includes the security patch. If upgrading is not possible, restrict access to content/downloader.php with a WAF.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants immediate mitigation.
Refer to the plugin developer's website or the WordPress plugin repository for the official advisory and updated version.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.