HIGHCVE-2024-37231CVSS 8.6

WordPress Salon booking system plugin <= 9.9 - Arbitraire Bestand Verwijderings kwetsbaarheid

Q: What is CVE-2024-37231 — Arbitrary File Access in Salon Booking System?

CVE-2024-37231 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a server running the Salon Booking System. It impacts versions up to 9.9.

Q: Am I affected by CVE-2024-37231 in Salon Booking System?

You are affected if you are using Salon Booking System version 9.9 or earlier. Upgrade to 9.9.1 to mitigate the risk.

Q: How do I fix CVE-2024-37231 in Salon Booking System?

Upgrade to Salon Booking System version 9.9.1 or later. As a temporary workaround, restrict file access permissions or implement a WAF.

Q: Is CVE-2024-37231 being actively exploited?

Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.

Q: Where can I find the official Salon Booking System advisory for CVE-2024-37231?

Refer to the official Salon Booking System website or security advisory channels for the latest information and updates regarding CVE-2024-37231.

Platform

wordpress

Component

salon-booking-system

Opgelost in

9.9.1

AI Confidence: highNVDEPSS 0.1%Beoordeeld: mei 2026

Bekijk op NVD

Opslaan

CVE-2024-37231 beschrijft een 'Path Traversal' kwetsbaarheid in het Salon Booking System. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van het Salon Booking System tot en met 9.9. Een fix is beschikbaar in versie 9.9.1.

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze kwetsbaarheid kan ernstige gevolgen hebben. Een aanvaller kan gevoelige configuratiebestanden, broncode of andere kritieke data benaderen. Afhankelijk van de bestanden die toegankelijk zijn, kan dit leiden tot volledige controle over het systeem. Het is vergelijkbaar met eerdere path traversal kwetsbaarheden waarbij aanvallers toegang kregen tot systeembestanden via onvoldoende gevalideerde gebruikersinvoer. De impact is aanzienlijk, vooral in omgevingen waar het Salon Booking System wordt gebruikt voor het verwerken van klantgegevens of financiële transacties.

Uitbuitingscontext

Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-06-24. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de Path Traversal aard ervan maakt het een aantrekkelijk doelwit voor automatische scanners. Het is aan te raden om de systemen te monitoren op verdachte activiteit. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een medium waarschijnlijkheid.

Wie Loopt Risicowordt vertaald…

Organizations using the Salon Booking System plugin, particularly those with older versions (≤9.9) and those who haven't implemented robust file access controls, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one user's installation could potentially lead to the compromise of others.

Detectiestappenwordt vertaald…

• wordpress / composer / npm:

grep -r "../" /var/www/html/salon-booking-system/

• generic web:

curl -I http://your-salon-booking-system/../../../../etc/passwd

Aanvalstijdlijn

2024-06-24Disclosure
disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend

CISA KEVNO

InternetblootstellingHoog

EPSS

0.14% (34% percentiel)

CISA SSVC

Exploitatienone

Automatiseerbaaryes

Technische Impactpartial

CVSS-vector

Getroffen Software

Componentsalon-booking-system

LeverancierSalon Booking System

Getroffen bereikOpgelost in

0.0.0 – 9.99.9.1

Zwakheidsclassificatie (CWE)

CWE-22

Tijdlijn

Gereserveerd2024-06-04
Gepubliceerd2024-06-24
Gewijzigd2024-08-02
EPSS bijgewerkt2026-04-02

Mitigatie en Workarounds

De primaire mitigatie is het upgraden naar versie 9.9.1 van het Salon Booking System. Indien een upgrade momenteel niet mogelijk is, kan een Web Application Firewall (WAF) worden ingezet om bestandspaden te beperken en te filteren. Configureer de WAF om verzoeken met verdachte paden, zoals '..' of absolute paden, te blokkeren. Controleer ook de configuratie van het Salon Booking System op onjuiste bestandstoegangsrechten. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot een bestand buiten de toegestane directory via een web browser of tool zoals curl.

Hoe te verhelpenwordt vertaald…

Actualice el plugin Salon Booking System a la última versión disponible. La vulnerabilidad de eliminación arbitraria de archivos se ha corregido en versiones posteriores a la 9.9. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragenwordt vertaald…

What is CVE-2024-37231 — Arbitrary File Access in Salon Booking System?

CVE-2024-37231 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a server running the Salon Booking System. It impacts versions up to 9.9.

Am I affected by CVE-2024-37231 in Salon Booking System?

You are affected if you are using Salon Booking System version 9.9 or earlier. Upgrade to 9.9.1 to mitigate the risk.

How do I fix CVE-2024-37231 in Salon Booking System?

Upgrade to Salon Booking System version 9.9.1 or later. As a temporary workaround, restrict file access permissions or implement a WAF.

Is CVE-2024-37231 being actively exploited?

Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.

Where can I find the official Salon Booking System advisory for CVE-2024-37231?

Refer to the official Salon Booking System website or security advisory channels for the latest information and updates regarding CVE-2024-37231.

NextGuard

Kwetsbaarheden

Pakketinformatie

Actieve installaties: 3KBekend
Plugin-beoordeling

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

4.4

Vereist WordPress

4.1+

Compatibel tot

6.9.4

Vereist PHP

7.4.8+

Wat betekenen deze metrics?

Attack Vector: Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity: Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required: Geen — geen authenticatie vereist om te exploiteren.
User Interaction: Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope: Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality: Geen — geen vertrouwelijkheidsimpact.
Integrity: Geen — geen integriteitsimpact.
Availability: Hoog — volledige crash of uitputting van resources. Totale denial of service.