Platform
wordpress
Component
error-log-viewer-wp
Opgelost in
1.0.2
CVE-2024-12849 beschrijft een Arbitrary File Access kwetsbaarheid in de Error Log Viewer By WP Guru plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden op de server te lezen, wat kan leiden tot blootstelling van gevoelige informatie. De kwetsbaarheid treft versies van de plugin tot en met 1.0.1.3. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om de inhoud van willekeurige bestanden op de webserver te lezen. Dit omvat potentieel configuratiebestanden, database back-ups, of andere bestanden die gevoelige informatie bevatten, zoals API sleutels, wachtwoorden of database credentials. De impact kan variëren afhankelijk van de bestanden die toegankelijk zijn, maar kan leiden tot volledige controle over de server of diefstal van gevoelige gegevens. Dit soort kwetsbaarheden worden vaak gebruikt als springplank voor verdere aanvallen, zoals het verkrijgen van toegang tot andere systemen binnen het netwerk.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat dit in de toekomst zal gebeuren. De kwetsbaarheid is gepubliceerd op 7 januari 2025. Er zijn geen KEV-listings bekend op het moment van schrijven.
WordPress websites using the Error Log Viewer By WP Guru plugin, particularly those running versions prior to 1.0.1.3, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the exposure of data from other sites.
• wordpress / composer / npm:
grep -r 'wp_ajax_nopriv_elvwp_log_download' /var/www/html/wp-content/plugins/error-log-viewer-by-wp-guru/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=elvwp_log_download&file=/etc/passwd• wordpress / composer / npm:
wp plugin list | grep 'Error Log Viewer By WP Guru'disclosure
Exploit Status
EPSS
92.98% (100% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Error Log Viewer By WP Guru plugin naar de meest recente beveiligde versie. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin. Als dit niet mogelijk is, kan een Web Application Firewall (WAF) worden geconfigureerd om verzoeken naar de kwetsbare wpajaxnoprivelvwplog_download AJAX actie te blokkeren. Controleer ook de bestandsrechten van de server om te zorgen dat alleen de webserver-gebruiker toegang heeft tot gevoelige bestanden. Na de upgrade, controleer de server logs op verdachte activiteit.
Actualice el plugin Error Log Viewer By WP Guru a una versión posterior a la 1.0.1.3. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-12849 is a vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server running the Error Log Viewer By WP Guru plugin versions up to 1.0.1.3.
You are affected if you are using the Error Log Viewer By WP Guru plugin in WordPress and are running a version equal to or less than 1.0.1.3. Check your plugin version immediately.
Update the Error Log Viewer By WP Guru plugin to the latest available version. If immediate upgrade is not possible, restrict access to the vulnerable AJAX endpoint.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.