Platform
wordpress
Component
striking-r
Opgelost in
2.3.5
CVE-2024-37268 beschrijft een 'Path Traversal' kwetsbaarheid in de Striking WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de toegestane directory te benaderen, wat potentieel tot data-exfiltratie of zelfs code-uitvoering kan leiden. De kwetsbaarheid treft versies van Striking tot en met 2.3.4. Een patch is beschikbaar in versie 2.3.5.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan ernstige gevolgen hebben. Een aanvaller kan toegang krijgen tot gevoelige bestanden op de webserver, zoals configuratiebestanden, database credentials of broncode. Dit kan leiden tot data-exfiltratie, wijziging van website-inhoud, of zelfs de uitvoering van willekeurige code op de server. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de aanvaller de mogelijkheid heeft om de directory structuur van de server te verkennen en toegang te krijgen tot onbedoelde bestanden. De ernst van de impact hangt af van de gevoeligheid van de bestanden die toegankelijk zijn via deze route.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-07-09. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de Path Traversal aard ervan maakt het een aantrekkelijk doelwit voor automatische scanners. De CVSS score van 8.5 (HIGH) duidt op een significant risico. Er zijn momenteel geen public proof-of-concept exploits beschikbaar.
WordPress websites utilizing the Striking plugin, particularly those running older versions (≤2.3.4), are at risk. Shared hosting environments where file system permissions are less tightly controlled are especially vulnerable. Sites with weak security configurations or inadequate input validation practices are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/striking/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/striking/../../../../etc/passwd' # Check for sensitive file accessdisclosure
Exploit Status
EPSS
1.08% (78% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Striking WordPress plugin naar versie 2.3.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de plugin directory via een web application firewall (WAF) of proxy server. Configureer de WAF om verzoeken met paden die buiten de toegestane directory vallen te blokkeren. Controleer ook de bestandsrechten op de server om ervoor te zorgen dat de webserver geen onnodige leesrechten heeft op gevoelige bestanden. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot bestanden buiten de toegestane directory via de plugin; dit zou moeten mislukken.
Actualice el tema Striking a una versión posterior a la 2.3.4. Si no hay una versión disponible, considere deshabilitar o reemplazar el tema con una alternativa segura. Consulte la documentación del tema o al proveedor para obtener instrucciones específicas de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-37268 is a Path Traversal vulnerability affecting the Striking WordPress plugin, allowing attackers to access arbitrary files on the server.
You are affected if you are using Striking WordPress plugin versions 2.3.4 or earlier. Upgrade to 2.3.5 or later to resolve the vulnerability.
Upgrade the Striking WordPress plugin to version 2.3.5 or later. Implement temporary workarounds like restricting file access and validating user input if immediate upgrade is not possible.
No active exploitation campaigns have been confirmed, but the vulnerability's nature suggests a potential for rapid exploitation if a PoC is released.
Refer to the Striking plugin's official website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.