Platform
wordpress
Component
bitformpro
Opgelost in
2.6.5
CVE-2024-43248 beschrijft een Arbitrary File Access kwetsbaarheid in Bit Form Pro, een WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen en mogelijk te manipuleren. De kwetsbaarheid treft versies van Bit Form Pro tot en met 2.6.4. Een patch is beschikbaar in versie 2.6.5.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server, zoals configuratiebestanden, database back-ups of zelfs broncode. Dit kan resulteren in data-exfiltratie, wijziging van bestanden en mogelijk volledige controle over de server. De impact is aanzienlijk, aangezien een aanvaller de integriteit van de website en de daaraan gekoppelde gegevens kan compromitteren. Het misbruik van deze kwetsbaarheid kan vergelijkbaar zijn met eerdere path traversal aanvallen, waarbij aanvallers gebruik maken van speciale tekens om de toegestane paden te omzeilen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen bevestigd bewijs van actieve exploitatie in de wildernis, maar de lage complexiteit van de kwetsbaarheid maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is gepubliceerd op 2024-08-19. Controleer de NVD en CISA websites voor updates.
WordPress websites utilizing Bit Form Pro, particularly those with older versions (≤2.6.4) and those that haven't implemented robust file upload security measures, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/bit-form-pro/*• generic web:
curl -I 'http://your-website.com/wp-content/plugins/bit-form-pro/path/../sensitive_file.txt' # Check for 200 OK responsedisclosure
Exploit Status
EPSS
0.25% (48% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Bit Form Pro naar versie 2.6.5 of hoger. Indien een upgrade momenteel niet mogelijk is, implementeer dan tijdelijke restricties op bestandstoegang via de WordPress serverconfiguratie (bijvoorbeeld .htaccess). Controleer de WordPress logbestanden op verdachte activiteit, zoals ongebruikelijke bestandstoegangsverzoeken. Overweeg het gebruik van een Web Application Firewall (WAF) om path traversal pogingen te detecteren en te blokkeren. Zorg ervoor dat de WordPress installatie up-to-date is met de laatste beveiligingspatches.
Actualice el plugin Bit Form Pro a la última versión disponible. La vulnerabilidad permite la eliminación arbitraria de archivos, por lo que es crucial actualizar para proteger su sitio web. Verifique que la versión actualizada sea posterior a la 2.6.4.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-43248 is a vulnerability in Bit Form Pro allowing attackers to manipulate files. It has a HIGH severity rating and affects versions up to 2.6.4.
You are affected if you are using Bit Form Pro version 2.6.4 or earlier. Check your version and upgrade immediately.
Upgrade Bit Form Pro to version 2.6.5 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a potential for active exploitation.
Refer to the Bit Apps security advisory for detailed information and updates: [https://bit-apps.net/security/](https://bit-apps.net/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.