Platform
wordpress
Component
strategery-migrations
Opgelost in
1.0.1
CVE-2024-35745 beschrijft een 'Path Traversal' kwetsbaarheid in de Strategery Migrations WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de toegestane directory te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van Strategery Migrations tot en met 1.0. Een update naar versie 1.0.1 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van CVE-2024-35745 kan ernstige gevolgen hebben. Aanvallers kunnen toegang krijgen tot gevoelige configuratiebestanden, database-credentials, of zelfs broncode van de WordPress website. Dit kan leiden tot data-exfiltratie, wijziging van website-inhoud, of het compromitteren van de gehele server. Afhankelijk van de configuratie van de server en de rechten van de webserver-gebruiker, kan de impact zich verder uitstrekken naar andere systemen op hetzelfde netwerk. Het is vergelijkbaar met andere path traversal kwetsbaarheden waarbij ongeautoriseerde toegang tot bestanden mogelijk is.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-06-10. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar gezien de eenvoud van path traversal exploits is het waarschijnlijk dat er in de toekomst proof-of-concept code beschikbaar komt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van mitigatie onderstreept.
WordPress websites utilizing the Strategery Migrations plugin, particularly those running versions prior to 1.0.1, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as they may not be able to quickly apply updates.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/strategery-migrations/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/strategery-migrations/../../../../etc/passwd' # Check for directory traversaldisclosure
Exploit Status
EPSS
0.84% (75% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-35745 is het updaten van de Strategery Migrations plugin naar versie 1.0.1. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webserver-gebruiker om de impact van een succesvolle exploitatie te minimaliseren. Controleer ook de WordPress configuratie op onnodige bestandsrechten. Na de upgrade, controleer de server logs op verdachte activiteiten die wijzen op pogingen tot path traversal.
Actualiza el plugin Strategery Migrations a una versión posterior a la 1.0, si existe. Si no hay una versión disponible, considera deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la eliminación arbitraria de archivos en tu sitio web.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-35745 is a vulnerability in Strategery Migrations allowing attackers to access files outside intended directories. It has a HIGH severity (7.5) and affects versions up to 1.0.
If you are using Strategery Migrations version 1.0 or earlier, you are affected by this vulnerability. Upgrade to 1.0.1 to resolve the issue.
Upgrade Strategery Migrations to version 1.0.1 or later. Consider implementing WAF rules and stricter file access controls as additional security measures.
While no public exploits are currently available, the vulnerability's simplicity suggests a potential for rapid exploitation. Continuous monitoring is recommended.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.