Platform
wordpress
Component
timeline-and-history-slider
Opgelost in
2.3.1
CVE-2024-43232 beschrijft een Path Traversal kwetsbaarheid in de Timeline and History slider plugin voor WP OnlineSupport. Deze kwetsbaarheid maakt PHP Local File Inclusion mogelijk, wat een aanvaller in staat stelt om willekeurige bestanden op de server te lezen. De kwetsbaarheid treft versies van de plugin tot en met 2.3. Een fix is beschikbaar in versie 2.3.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om gevoelige bestanden op de webserver te lezen, zoals configuratiebestanden, database credentials of broncode. Dit kan leiden tot volledige controle over de server, datalekken en verdere compromittering van de website. De mogelijkheid tot PHP Local File Inclusion verhoogt de ernst van de kwetsbaarheid aanzienlijk, omdat het de aanvaller in staat stelt om willekeurige code uit te voeren. Dit is vergelijkbaar met eerdere Path Traversal kwetsbaarheden in WordPress plugins, waarbij gevoelige informatie werd blootgesteld.
CVE-2024-43232 werd publiekelijk bekendgemaakt op 2024-08-19. Er zijn momenteel geen openbare Proof-of-Concept (POC) exploits bekend, maar de Path Traversal aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig. De KEV-status is momenteel onbekend. Het is aannemelijk dat deze kwetsbaarheid actief wordt gescand door aanvallers.
WordPress websites utilizing the WP OnlineSupport Timeline and History slider plugin, particularly those running versions prior to 2.3.1, are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/timeline-and-history-slider/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/timeline-and-history-slider/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.77% (73% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-43232 is het upgraden van de WP OnlineSupport, Essential Plugin Timeline and History slider plugin naar versie 2.3.1 of hoger. Indien een upgrade momenteel niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) met regels om path traversal pogingen te blokkeren. Controleer ook de WordPress plugin directory op eventuele aanvullende beveiligingsaanbevelingen.
Actualiza el plugin Timeline and History slider a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-43232 is a Path Traversal vulnerability in the WP OnlineSupport Timeline and History slider plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using WP OnlineSupport Timeline and History slider version 2.3 or earlier. Upgrade to 2.3.1 to resolve the issue.
Upgrade the WP OnlineSupport Timeline and History slider plugin to version 2.3.1 or later. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
While no confirmed active exploitation has been publicly reported, the vulnerability's ease of exploitation suggests it is a potential target for attackers.
Refer to the WP OnlineSupport website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.