Platform
wordpress
Component
stockholm
Opgelost in
9.6.1
CVE-2024-34552 beschrijft een Path Traversal kwetsbaarheid in Select-Themes Stockholm, een WordPress thema. Deze kwetsbaarheid stelt een aanvaller in staat om lokale bestanden op de server te includeren, wat kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft versies van Stockholm tot en met 9.6. Een fix is beschikbaar in versie 9.6.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan ernstige gevolgen hebben. Een aanvaller kan gebruik maken van de kwetsbaarheid om willekeurige bestanden op de server te lezen, waaronder configuratiebestanden, broncode en gevoelige data. Dit kan leiden tot data-exfiltratie, code-uitvoering en uiteindelijk volledige controle over de server. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de aanvaller toegang krijgt tot bestanden buiten de toegestane directory. De ernst van de impact hangt af van de gevoeligheid van de bestanden die toegankelijk zijn via de kwetsbaarheid.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-06-04. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de Path Traversal aard ervan maakt het een aantrekkelijk doelwit voor automatische scanners. De CVSS score van 8.5 (HIGH) geeft aan dat de kwetsbaarheid een significant risico vormt. Er zijn geen KEV vermeldingen bekend op het moment van schrijven.
WordPress websites utilizing the Select-Themes Stockholm plugin, particularly those running versions 9.6 or earlier, are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with misconfigured file permissions that allow the web server user to access sensitive files are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/select-themes-stockholm/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/select-themes-stockholm/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep stockholmdisclosure
Exploit Status
EPSS
0.65% (71% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-34552 is het upgraden van Select-Themes Stockholm naar versie 9.6.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de WordPress installatie via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met potentieel schadelijke padnamen te blokkeren. Controleer ook de bestandsrechten op de server om te zorgen dat alleen de benodigde gebruikers toegang hebben tot gevoelige bestanden. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te includeren via de kwetsbare endpoint.
Actualice el tema Stockholm a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o reemplazar el tema con una alternativa segura. Esté atento a las actualizaciones de seguridad del proveedor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-34552 is a Path Traversal vulnerability in the Select-Themes Stockholm WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using Select-Themes Stockholm version 9.6 or earlier. Upgrade to 9.6.1 to resolve the issue.
Upgrade the Select-Themes Stockholm plugin to version 9.6.1 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's nature suggests it may be targeted soon. Prompt patching is recommended.
Refer to the Select-Themes website and WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.