Platform
wordpress
Component
wishlist-member-x
Opgelost in
3.26.7
3.26.7
CVE-2024-37108 beschrijft een Arbitrary File Access kwetsbaarheid in de Wishlist Member plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te verwijderen, wat kan leiden tot ernstige gevolgen zoals remote code execution. De kwetsbaarheid treft versies van Wishlist Member tot en met 3.26.7. Een fix is beschikbaar in versie 3.26.7.
Een succesvolle exploitatie van CVE-2024-37108 kan leiden tot het verwijderen van kritieke systeembestanden, waaronder wp-config.php. Het verwijderen van dit bestand kan de toegang tot de WordPress installatie volledig uitschakelen en de mogelijkheid bieden om kwaadaardige code uit te voeren. Aangezien de kwetsbaarheid vereist dat de aanvaller geauthenticeerd is (met Subscriber-level toegang of hoger), is de impact groter voor websites met minder strikte toegangscontroles. De ernst van de impact wordt verhoogd door de mogelijkheid van remote code execution, waardoor een aanvaller de volledige controle over de server kan overnemen.
Op dit moment (2024-06-20) zijn er geen bekende actieve campagnes die deze kwetsbaarheid exploiteren. Er zijn ook geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in de NVD (National Vulnerability Database) en is openbaar bekend. De CISA (Cybersecurity and Infrastructure Security Agency) heeft deze kwetsbaarheid nog niet opgenomen in de KEV catalogus.
WordPress websites utilizing the Wishlist Member plugin, particularly those running versions prior to 3.26.7, are at risk. Shared hosting environments are especially vulnerable, as they often have limited file permission controls and a higher density of WordPress installations, increasing the potential attack surface. Sites with legacy WordPress configurations or those that haven't implemented robust security practices are also at heightened risk.
• wordpress / composer / npm:
grep -r 'wishlist_member_delete_file' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=active | grep Wishlist Member• wordpress / composer / npm:
wp plugin update wishlist-member --version=3.26.7• generic web:
Check WordPress access logs for requests containing suspicious file paths or deletion attempts targeting sensitive files like wp-config.php.
disclosure
Exploit Status
EPSS
0.28% (52% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-37108 is het updaten van de Wishlist Member plugin naar versie 3.26.7 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de bestandstoegangsrechten voor de WordPress installatie. Controleer de toegangsrechten van de WordPress bestanden en mappen om te zorgen dat alleen de benodigde gebruikers toegang hebben. Het implementeren van een Web Application Firewall (WAF) kan helpen om verdachte verzoeken te blokkeren. Na de upgrade, controleer de WordPress logs op ongebruikelijke activiteiten om te bevestigen dat de kwetsbaarheid is verholpen.
Update naar versie 3.26.7, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-37108 is a vulnerability in the Wishlist Member WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution if critical files are deleted.
You are affected if your WordPress site uses the Wishlist Member plugin and is running a version prior to 3.26.7. Check your plugin version immediately.
Upgrade the Wishlist Member plugin to version 3.26.7 or later. If immediate upgrade is not possible, implement temporary mitigations like restricting file permissions and using a WAF.
As of June 2024, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the Wishlist Member website and WordPress plugin repository for the latest security advisory and update information regarding CVE-2024-37108.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.