Platform
wordpress
Component
wp-hide-security-enhancer
Opgelost in
2.5.2
CVE-2024-11585 beschrijft een kwetsbaarheid van het type Arbitrary File Access in de WP Hide & Security Enhancer WordPress plugin. Deze kwetsbaarheid stelt onbevoegden in staat om willekeurige bestanden op de server te verwijderen, wat ernstige gevolgen kan hebben voor de functionaliteit en integriteit van de website. De kwetsbaarheid treft versies van de plugin tot en met 2.5.1. Een fix is beschikbaar in latere versies.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot het verwijderen van cruciale configuratiebestanden, thema-bestanden of zelfs core WordPress bestanden. Dit kan resulteren in een onbruikbare website, dataverlies en mogelijk zelfs de compromittering van de server. Aangezien de kwetsbaarheid geen authenticatie vereist, kan een aanvaller deze op afstand exploiteren zonder in te loggen op de WordPress installatie. De impact is vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot de server via een andere kwetsbaarheid en vervolgens gevoelige bestanden verwijdert om schade aan te richten.
De kwetsbaarheid werd publiekelijk bekendgemaakt op 6 december 2024. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de lage authenticatievereiste maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Websites using the WP Hide & Security Enhancer plugin, particularly those running older versions (≤2.5.1), are at risk. Shared hosting environments are particularly vulnerable as they often have limited file permission controls, making it easier for attackers to exploit this vulnerability.
• wordpress / composer / npm:
grep -r 'file_process.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "WP Hide & Security Enhancer"• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-hide-security-enhancer/file-process.php?file=../../../../etc/passwddisclosure
Exploit Status
EPSS
2.01% (84% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de WP Hide & Security Enhancer plugin naar een beveiligde versie. Controleer de officiële website van de plugin voor de meest recente versie. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het beperken van de rechten van de webserver gebruiker zijn, zodat deze geen toegang heeft tot gevoelige bestanden. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om verdachte verzoeken te blokkeren. Controleer de WordPress logbestanden op ongebruikelijke activiteit.
Actualice el plugin WP Hide & Security Enhancer a la última versión disponible. La vulnerabilidad que permite la eliminación de contenido de archivos arbitrarios sin autenticación se ha corregido en versiones posteriores a la 2.5.1.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-11585 is a vulnerability in the WP Hide & Security Enhancer plugin that allows unauthenticated attackers to delete arbitrary files on a WordPress server.
You are affected if you are using WP Hide & Security Enhancer version 2.5.1 or earlier. Check your plugin version and upgrade immediately.
Upgrade the WP Hide & Security Enhancer plugin to the latest available version. If upgrading is not immediately possible, restrict file access permissions and implement WAF rules.
There is currently no confirmed active exploitation, but the ease of exploitation suggests it could become a target.
Refer to the official WP Hide & Security Enhancer website and WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.