Platform
wordpress
Component
post-grid-carousel-ultimate
Opgelost in
1.6.11
CVE-2024-13409 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de Post Grid, Slider & Carousel Ultimate WordPress plugin. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te includeren en uit te voeren, wat kan leiden tot code-uitvoering. De kwetsbaarheid treft versies van de plugin tot en met 1.6.10. Een patch is beschikbaar in latere versies.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ernstige gevolgen. Een geauthenticeerde aanvaller, met minimaal Contributor-niveau toegang, kan willekeurige PHP-code op de server uitvoeren. Dit kan gebruikt worden om toegang te krijgen tot gevoelige data, de configuratie van de WordPress-installatie te wijzigen, of zelfs de volledige server over te nemen. De impact is vergelijkbaar met andere LFI-kwetsbaarheden waarbij de aanvaller de mogelijkheid heeft om PHP-code uit te voeren, wat een aanzienlijk risico vormt voor de integriteit en vertrouwelijkheid van de website.
Deze kwetsbaarheid is openbaar bekend en er is een kans dat deze actief wordt geëxploiteerd. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de relatieve eenvoud van LFI-exploits maakt het waarschijnlijk dat er in de toekomst wel zullen verschijnen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een medium waarschijnlijkheid van exploitatie.
WordPress websites utilizing the Post Grid, Slider & Carousel Ultimate plugin, particularly those with multiple contributors or users with elevated privileges (e.g., Editor, Administrator), are at risk. Shared hosting environments where plugin installations are managed centrally are also particularly vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'post_type_ajax_handler' /var/www/html/wp-content/plugins/post-grid-ultimate/• wordpress / composer / npm:
wp plugin list | grep 'Post Grid'• wordpress / composer / npm:
wp plugin active | grep 'Post Grid'• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/post-grid-ultimate/ | grep -i 'theme='disclosure
Exploit Status
EPSS
0.36% (58% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Post Grid plugin naar de meest recente versie, waar deze kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de functie die de kwetsbaarheid bevat (posttypeajax_handler()). Het implementeren van een Web Application Firewall (WAF) met regels om verdachte file inclusion pogingen te blokkeren kan ook helpen. Controleer de WordPress logbestanden op verdachte activiteiten en implementeer een strikte toegangscontrole voor gebruikers met Contributor-niveau toegang of hoger.
Actualice el plugin Post Grid, Slider & Carousel Ultimate a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) ha sido corregida en versiones posteriores a la 1.6.10. Esto evitará que atacantes autenticados con nivel de contribuidor o superior puedan ejecutar archivos arbitrarios en el servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-13409 is a Local File Inclusion vulnerability in the Post Grid WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Post Grid plugin versions 1.6.10 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Post Grid plugin to a version greater than 1.6.10. Consider WAF rules as a temporary mitigation if upgrading is not immediately possible.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests it could be targeted soon.
Refer to the Post Grid plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.