Platform
wordpress
Component
designthemes-core-features
Opgelost in
4.7.1
CVE-2024-13471 describes an Arbitrary File Access vulnerability within the DesignThemes Core Features plugin for WordPress. This vulnerability allows unauthenticated attackers to read arbitrary files on the server, potentially exposing sensitive data and system information. The vulnerability impacts versions of the plugin up to and including 4.7. A fix is available via plugin update.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige informatie die op de server is opgeslagen, zoals configuratiebestanden, database credentials of broncode. Een aanvaller kan deze informatie gebruiken om verdere aanvallen uit te voeren, zoals het compromitteren van de hele WordPress website of het verkrijgen van toegang tot andere systemen op het netwerk. De impact is aanzienlijk, aangezien de kwetsbaarheid geen authenticatie vereist, waardoor deze gemakkelijk te exploiteren is. Dit soort kwetsbaarheden kunnen vergelijkbare gevolgen hebben als het blootleggen van configuratiebestanden, wat vaak leidt tot verdere misbruik.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-03-05. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de lage complexiteit van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op dit moment. De ernst van de kwetsbaarheid vereist onmiddellijke aandacht om verdere misbruik te voorkomen.
WordPress websites using the DesignThemes Core Features plugin, particularly those running versions 4.7 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable. Websites with sensitive data stored in easily accessible locations on the server are also at higher risk.
• wordpress / composer / npm:
grep -r 'dt_process_imported_file' /var/www/html/wp-content/plugins/design-themes-core-features/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/design-themes-core-features/dt_process_imported_file.php?file=../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep design-themes-core-featuresdisclosure
Exploit Status
EPSS
1.53% (81% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de DesignThemes Core Features plugin naar een beveiligde versie. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de dtprocessimported_file functie via een WordPress .htaccess bestand, door de toegang tot deze functie te blokkeren voor ongeauthenticeerde gebruikers. Controleer ook de WordPress plugin directory op updates en beveiligingsadviezen. Na de upgrade, controleer de toegangsrechten van de plugin en de bijbehorende bestanden om te bevestigen dat de kwetsbaarheid is verholpen.
Actualizar el plugin DesignThemes Core Features a una versión posterior a la 4.7. Si no hay una actualización disponible, considere deshabilitar el plugin hasta que se publique una versión corregida.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-13471 is a vulnerability in the DesignThemes Core Features WordPress plugin allowing unauthenticated attackers to read arbitrary files. It has a CVSS score of 7.5 (HIGH) and affects versions up to 4.7.
You are affected if your WordPress site uses the DesignThemes Core Features plugin version 4.7 or earlier. Check your plugin versions immediately.
Update the DesignThemes Core Features plugin to the latest available version. There are no known workarounds beyond updating the plugin.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the DesignThemes website or WordPress plugin repository for the latest advisory and update information regarding CVE-2024-13471.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.