Platform
wordpress
Component
upunzipper
Opgelost in
1.0.1
CVE-2024-35744 beschrijft een 'Path Traversal' kwetsbaarheid in de Upunzipper WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de toegestane directory te benaderen en mogelijk te manipuleren. De kwetsbaarheid treft versies van Upunzipper tot en met 1.0.0. Een patch is beschikbaar in versie 1.0.1.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver. Aanvallers kunnen configuratiebestanden, broncode of andere kritieke data in handen krijgen. Dit kan resulteren in data-exfiltratie, wijziging van website-inhoud, of zelfs volledige overname van de server. De impact is vergelijkbaar met andere path traversal kwetsbaarheden waarbij de toegang tot bestanden buiten de verwachte directory mogelijk wordt gemaakt.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-06-10. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar path traversal kwetsbaarheden worden vaak misbruikt. Controleer de CISA KEV catalogus voor updates over de status van deze kwetsbaarheid.
WordPress websites utilizing the Upunzipper plugin, particularly those running older versions (≤1.0.0), are at risk. Shared hosting environments are especially vulnerable due to the potential for cross-site contamination if one website is compromised.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/upunzipper/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/upunzipper/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.17% (39% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Upunzipper plugin naar versie 1.0.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) met regels om path traversal pogingen te blokkeren. Controleer ook de WordPress plugin directory op verdachte bestanden en wijzigingen. Na de upgrade, verifieer de integriteit van de plugin door de bestandsgrootte en hash te vergelijken met de officiële bron.
Actualiza el plugin Upunzipper a una versión posterior a la 1.0.0. Si no hay una versión disponible, considera desinstalar el plugin hasta que se publique una versión corregida. Esto evitará la eliminación arbitraria de archivos en tu servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-35744 is a HIGH severity vulnerability in Upunzipper allowing attackers to read or modify files via path traversal. It affects versions up to 1.0.0.
Yes, if you are using Upunzipper version 1.0.0 or earlier, you are affected by this vulnerability.
Upgrade Upunzipper to version 1.0.1 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no public exploits are currently known, the vulnerability's nature makes it a likely target for exploitation.
Check the official Upunzipper plugin page and WordPress.org plugin repository for updates and advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.