Platform
wordpress
Component
advanced-classifieds-and-directory-pro
Opgelost in
3.1.4
CVE-2024-37501 beschrijft een Path Traversal kwetsbaarheid in PluginsWare Advanced Classifieds & Directory Pro. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de toegestane directory te benaderen, wat kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft versies van Advanced Classifieds & Directory Pro tot en met 3.1.3. Een fix is beschikbaar in versie 3.1.4.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan potentieel gevoelige configuratiebestanden, broncode of andere kritieke data op de server benaderen. Dit kan leiden tot ongeautoriseerde toegang tot de WordPress omgeving, data-exfiltratie, of zelfs de mogelijkheid om code uit te voeren. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de aanvaller de directory structuur kan manipuleren om toegang te krijgen tot verboden bronnen. De ernst van de impact hangt af van de gevoeligheid van de bestanden die toegankelijk zijn via de kwetsbaarheid.
CVE-2024-37501 werd publiekelijk bekendgemaakt op 2024-07-09. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het waarschijnlijk dat deze in de toekomst zullen verschijnen. De KEV status is momenteel onbekend. Het is belangrijk om deze kwetsbaarheid serieus te nemen en onmiddellijk te mitigeren.
Websites utilizing PluginsWare Advanced Classifieds & Directory Pro, particularly those running older versions (≤3.1.3) and those with shared hosting environments where file permissions may be less restrictive, are at increased risk. Sites with sensitive data stored on the server are especially vulnerable.
• wordpress / plugin:
wp plugin list | grep Advanced Classifieds• wordpress / plugin: Check for unusual files in the plugin's directory or accessible via web requests.
• generic web: Monitor web server access logs for requests containing ../ or other path traversal sequences.
• generic web: Use a WAF to block requests containing suspicious path traversal patterns.
disclosure
Exploit Status
EPSS
1.46% (81% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-37501 is het upgraden van PluginsWare Advanced Classifieds & Directory Pro naar versie 3.1.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webserver gebruiker of het implementeren van een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren. Controleer de WordPress plugin directory op updates en patches. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot bestanden buiten de toegestane directory via de kwetsbare endpoint.
Actualice el plugin Advanced Classifieds & Directory Pro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 3.1.3. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-37501 is a Path Traversal vulnerability affecting Advanced Classifieds & Directory Pro versions up to 3.1.3, allowing attackers to access arbitrary files on the server.
You are affected if you are using Advanced Classifieds & Directory Pro version 3.1.3 or earlier. Upgrade to 3.1.4 to mitigate the risk.
Upgrade Advanced Classifieds & Directory Pro to version 3.1.4 or later. If immediate upgrade is not possible, implement temporary workarounds like WAF rules and file permission restrictions.
There is currently no indication of active exploitation campaigns, but the vulnerability's nature suggests potential for rapid exploitation.
Refer to the PluginsWare website and WordPress plugin repository for the latest advisory and update information regarding CVE-2024-37501.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.