Platform
wordpress
Component
booking-ultra-pro
Opgelost in
1.1.14
CVE-2024-38717 beschrijft een Path Traversal kwetsbaarheid in de Booking Ultra Pro Appointments Booking Calendar plugin voor WordPress. Deze kwetsbaarheid maakt Local File Inclusion (LFI) mogelijk, waardoor een aanvaller potentieel gevoelige bestanden op de server kan benaderen. De kwetsbaarheid treft versies van de plugin van n/a tot en met 1.1.13. Een patch is beschikbaar in versie 1.1.14.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de webserver te lezen. Dit kan leiden tot het blootleggen van configuratiebestanden, broncode, database credentials of andere gevoelige informatie. Afhankelijk van de bestanden die worden benaderd, kan de aanvaller de controle over de website overnemen, malware installeren of gevoelige gegevens stelen. De impact is aanzienlijk, aangezien de aanvaller potentieel toegang kan krijgen tot de volledige serveromgeving. Dit is vergelijkbaar met eerdere LFI exploits waarbij gevoelige informatie werd blootgelegd.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen melding van actieve exploits in de wild, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is gepubliceerd op 2024-07-12. Er zijn momenteel geen KEV vermeldingen.
WordPress websites utilizing the Booking Ultra Pro Appointments plugin, particularly those running versions prior to 1.1.14, are at risk. Shared hosting environments where WordPress installations have limited control over file permissions are especially vulnerable. Sites with weak server configurations or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/booking-ultra-pro-appointments/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/booking-ultra-pro-appointments/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
1.23% (79% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Booking Ultra Pro Appointments plugin naar versie 1.1.14 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) met regels om path traversal pogingen te blokkeren. Controleer ook de WordPress configuratie op onnodige permissies en zorg ervoor dat de plugin directory niet toegankelijk is via het web. Na de upgrade, controleer de serverlogs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare endpoint te benaderen.
Actualice el plugin Booking Ultra Pro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-38717 is a Path Traversal vulnerability in the Booking Ultra Pro Appointments WordPress plugin, allowing attackers to potentially include arbitrary files.
Yes, if you are using Booking Ultra Pro Appointments version 1.1.13 or earlier, you are affected by this vulnerability.
Upgrade the Booking Ultra Pro Appointments plugin to version 1.1.14 or later to resolve this vulnerability.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.