Platform
wordpress
Component
file-manager-advanced-shortcode
Opgelost in
2.6.0
2.6.0
CVE-2024-13914 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de File Manager Advanced Shortcode plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers met administratorrechten in staat om willekeurige JavaScript bestanden te includeren en uit te voeren op de server. De kwetsbaarheid treedt op in versies tot en met 2.5.4 en 2.5.6 en kan misbruikt worden om toegang te krijgen tot gevoelige data of code-uitvoering te bereiken. Een update naar versie 2.6.0 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van CVE-2024-13914 kan ernstige gevolgen hebben voor WordPress websites die de File Manager Advanced Shortcode plugin gebruiken. Een geauthenticeerde aanvaller met administratorrechten kan JavaScript bestanden includeren en uitvoeren, waardoor ze potentieel toegang kunnen krijgen tot gevoelige informatie, zoals database credentials, API keys en andere configuratiebestanden. Daarnaast kan de aanvaller code-uitvoering verkrijgen, waardoor ze de controle over de website kunnen overnemen en kwaadaardige acties kunnen uitvoeren, zoals het installeren van malware, het wijzigen van content of het stelen van gebruikersgegevens. Het vermogen om JavaScript bestanden te includeren, zelfs via uploads van afbeeldingen of andere 'veilige' bestandstypen, vergroot de impact van deze kwetsbaarheid aanzienlijk.
Op dit moment is er geen publieke exploitatie van CVE-2024-13914 bekend, maar de kwetsbaarheid is wel opgenomen in het CISA KEV catalogus (KEV). Er zijn geen actieve campagnes bekend die deze kwetsbaarheid misbruiken. De publicatie van de CVE op 2025-05-15 betekent dat de kwetsbaarheid nu openbaar bekend is en potentiële aanvallers de mogelijkheid hebben om exploits te ontwikkelen. Het is belangrijk om de plugin zo snel mogelijk te patchen om het risico te minimaliseren.
WordPress sites utilizing the File Manager Advanced Shortcode plugin, particularly those with administrator accounts that have access to the file management functionality, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
wp plugin list | grep 'File Manager Advanced Shortcode'• wordpress / plugin: Check the plugin version. If it's <= 2.5.6, the system is vulnerable.
wp plugin list --status=active | grep 'File Manager Advanced Shortcode'• wordpress / plugin: Examine WordPress logs for suspicious file inclusion attempts involving the 'filemanageradvanced' shortcode.
grep 'file_manager_advanced' /var/log/apache2/error.log• wordpress / plugin: Review file upload directories for unexpected JavaScript files.
ls -l /path/to/wordpress/wp-content/uploads/disclosure
Exploit Status
EPSS
0.71% (72% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-13914 is het updaten van de File Manager Advanced Shortcode plugin naar versie 2.6.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin of het beperken van de toegang tot de 'filemanageradvanced' shortcode. Web Application Firewalls (WAFs) kunnen worden geconfigureerd om verdachte verzoeken die gerelateerd zijn aan het includeren van bestanden te blokkeren. Controleer de WordPress logbestanden op ongebruikelijke activiteit die kan wijzen op een poging tot exploitatie. Na de upgrade, controleer de website op tekenen van ongeautoriseerde toegang of wijzigingen om te bevestigen dat de kwetsbaarheid is verholpen.
Actualice el plugin File Manager Advanced Shortcode a la versión 2.6.0 o superior. Esta actualización corrige la vulnerabilidad de inclusión de archivos locales que permite la ejecución de código JavaScript arbitrario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-13914 is a Local File Inclusion vulnerability in the File Manager Advanced Shortcode WordPress plugin, allowing authenticated admins to execute JavaScript. It has a CVSS score of 7.2 (HIGH).
You are affected if you are using File Manager Advanced Shortcode version 2.5.6 or earlier. Upgrade to 2.6.0 to resolve the vulnerability.
Upgrade the File Manager Advanced Shortcode plugin to version 2.6.0 or later. If immediate upgrade is not possible, restrict administrator access to file management features.
While no active exploitation has been publicly confirmed, the vulnerability's nature makes it a likely target for attackers. Monitoring and mitigation are crucial.
Refer to the plugin developer's website or WordPress.org plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.