Platform
wordpress
Component
easy-social-share-buttons3
Opgelost in
9.4.1
CVE-2024-31300 beschrijft een Path Traversal kwetsbaarheid in de Easy Social Share Buttons plugin voor WordPress. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om via PHP Local File Inclusion (LFI) toegang te krijgen tot systeembestanden. De kwetsbaarheid treft versies van de plugin tot en met 9.4. Een fix is beschikbaar in versie 9.4.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige systeembestanden op de WordPress server. Een aanvaller kan bijvoorbeeld configuratiebestanden, database credentials of andere kritieke data inlezen. Dit kan resulteren in een compromittering van de gehele WordPress installatie en de daaraan gekoppelde data. De impact is vergelijkbaar met andere LFI kwetsbaarheden waarbij de aanvaller controle krijgt over de bestanden die door de server worden uitgevoerd.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploitatiecampagnes, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat deze in de toekomst misbruikt zal worden. De kwetsbaarheid is gepubliceerd op 2024-05-17 en is opgenomen in de NVD database.
WordPress websites utilizing the Easy Social Share Buttons plugin, particularly those running versions 9.4 or earlier, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin configurations and security settings. Sites with weak file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/easy-social-share-buttons/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/easy-social-share-buttons/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
1.34% (80% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Easy Social Share Buttons plugin naar versie 9.4.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webserver gebruiker of het implementeren van een Web Application Firewall (WAF) die pogingen tot bestandstoegang buiten de toegestane directory's blokkeert. Controleer ook de WordPress configuratie op onnodige permissies en zorg ervoor dat de plugin directory niet direct toegankelijk is via het web.
Actualice el plugin Easy Social Share Buttons a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad y protege su sitio web.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-31300 is a Path Traversal vulnerability in the Easy Social Share Buttons plugin for WordPress, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Easy Social Share Buttons version 9.4 or earlier, you are affected by this vulnerability.
Upgrade the Easy Social Share Buttons plugin to version 9.4.1 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation campaigns have been confirmed, the availability of a public proof-of-concept suggests an increased risk of exploitation.
Refer to the appscreo website and WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.