Platform
wordpress
Component
fileorganizer
Opgelost in
1.1.5
CVE-2024-11010 beschrijft een Local JavaScript File Inclusion (JSFI) kwetsbaarheid in de FileOrganizer – Manage WordPress and Website Files plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers, met Administrator-rechten of hoger, in staat om willekeurige JavaScript bestanden te includeren en uit te voeren. De kwetsbaarheid treedt op in versies van de plugin tot en met 1.1.4. Een upgrade naar een beveiligde versie is noodzakelijk om dit risico te mitigeren.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ernstige gevolgen. Een aanvaller kan via de 'default_lang' parameter willekeurige JavaScript bestanden includeren en uitvoeren. Dit stelt hen in staat om toegang te krijgen tot gevoelige data, zoals gebruikersgegevens en configuratiebestanden. Bovendien kan de aanvaller code-uitvoering verkrijgen op de server, wat de mogelijkheid biedt om de website te compromitteren en malware te installeren. De impact is vergelijkbaar met andere JSFI kwetsbaarheden waarbij de aanvaller controle kan krijgen over de website functionaliteit.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-12-07. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de mogelijkheid bestaat gezien de relatieve eenvoud van de exploitatie. De CVSS score van 7.2 (HIGH) duidt op een significant risico. Controleer de CISA KEV catalogus voor updates over de status van deze kwetsbaarheid.
WordPress websites utilizing the FileOrganizer plugin, particularly those with administrator accounts that have weak passwords or are otherwise vulnerable to compromise, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the exploitation of this vulnerability on other sites.
• wordpress / composer / npm:
grep -r 'default_lang' /var/www/html/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/• wordpress / composer / npm:
wp plugin list --status=all | grep fileorganizer• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/ | grep default_langdisclosure
Exploit Status
EPSS
0.30% (53% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de FileOrganizer plugin naar een beveiligde versie. Controleer de WordPress plugin directory voor de meest recente versie. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het beperken van de toegestane bestanden in de 'default_lang' parameter zijn. Het is echter belangrijk om te benadrukken dat dit geen volledige bescherming biedt. Monitor WordPress logs op verdachte activiteiten, zoals ongebruikelijke JavaScript inclusies. Implementeer een Web Application Firewall (WAF) met regels om JavaScript file inclusion pogingen te detecteren en te blokkeren.
Actualice el plugin FileOrganizer a la última versión disponible. La vulnerabilidad permite la inclusión de archivos JavaScript locales, lo que podría comprometer la seguridad del sitio web.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-11010 is a vulnerability in the FileOrganizer WordPress plugin that allows authenticated administrators to include and execute arbitrary JavaScript files, potentially leading to data theft or code execution.
You are affected if you are using the FileOrganizer plugin version 1.1.4 or earlier. Check your plugin versions and update immediately.
Update the FileOrganizer plugin to the latest available version. If an upgrade is not immediately possible, consider restricting access to the 'default_lang' parameter.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation suggests it could become a target.
Refer to the plugin developer's website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.