Platform
wordpress
Component
listingpro-plugin
Opgelost in
2.9.4
CVE-2024-39621 beschrijft een Path Traversal kwetsbaarheid in de ListingPro WordPress plugin. Deze kwetsbaarheid maakt misbruik van een onvoldoende beperking van padnamen, waardoor PHP Local File Inclusion mogelijk wordt. De kwetsbaarheid treft versies van ListingPro tot en met 2.9.3. Een update naar versie 2.9.4 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige PHP-bestanden op de server te includeren. Dit kan leiden tot volledige controle over de webserver, inclusief het uitvoeren van code, het lezen van gevoelige bestanden (zoals database credentials of configuratiebestanden) en het compromitteren van de WordPress-installatie. De impact is aanzienlijk, aangezien een aanvaller potentieel toegang kan krijgen tot de volledige database en andere kritieke systemen. Dit soort kwetsbaarheden worden vaak gebruikt om een springplank te creëren voor verdere aanvallen op het netwerk.
Op dit moment is er geen bevestigde informatie over actieve exploitatie van CVE-2024-39621. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op het moment van schrijven). De publicatiedatum van de CVE is 2024-08-01.
WordPress sites utilizing the ListingPro plugin, particularly those running versions prior to 2.9.4, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher concentration of vulnerable plugins. Sites with sensitive data or those used for e-commerce are also at higher risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/listingpro/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/listingpro/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
1.16% (79% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-39621 is het updaten van de ListingPro plugin naar versie 2.9.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker om de impact van een succesvolle exploitatie te minimaliseren. Controleer ook de WordPress-installatie op verdachte bestanden of wijzigingen. Implementeer een Web Application Firewall (WAF) met regels die pad traversal pogingen detecteren en blokkeren. Na de upgrade, controleer de server logs op ongebruikelijke activiteit en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare endpoint te benaderen.
Actualice el plugin ListingPro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 2.9.3. Consulte la documentación del plugin para obtener instrucciones sobre cómo actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-39621 is a Path Traversal vulnerability affecting the ListingPro WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using ListingPro versions 2.9.3 or earlier. Upgrade to 2.9.4 to resolve the issue.
Upgrade the ListingPro plugin to version 2.9.4 or later. As a temporary workaround, implement WAF rules to block path traversal attempts.
While no active exploitation has been confirmed, the vulnerability is well-understood and exploitation is likely.
Refer to the official ListingPro website and WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.