Platform
wordpress
Component
embedpress
Opgelost in
4.0.10
CVE-2024-43328 beschrijft een Path Traversal kwetsbaarheid in de EmbedPress WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om PHP Local File Inclusion (LFI) uit te voeren, waardoor ze mogelijk toegang kunnen krijgen tot gevoelige bestanden op de server. De kwetsbaarheid treft versies van EmbedPress van n/a tot en met 4.0.9. Een fix is beschikbaar in versie 4.0.10.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot het lezen van willekeurige bestanden op de server waarop de WordPress website draait. Dit omvat potentieel configuratiebestanden, database credentials, en andere gevoelige informatie. Afhankelijk van de bestanden die toegankelijk zijn, kan een aanvaller de website overnemen, gevoelige data stelen of de server compromitteren. De impact is vergelijkbaar met andere LFI kwetsbaarheden waarbij de aanvaller de mogelijkheid heeft om de server te verkennen en potentieel schadelijke code uit te voeren.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen melding van actieve exploitatie in de wild, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is gepubliceerd op 2024-08-19.
Websites utilizing the EmbedPress plugin, particularly those running older versions (≤4.0.9), are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable, as are sites with misconfigured PHP environments that allow for arbitrary file inclusion.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/embedpress/• wordpress / composer / npm:
wp plugin list --status=active | grep embedpress• wordpress / composer / npm:
wp plugin update embedpress --alldisclosure
Exploit Status
EPSS
1.18% (79% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de EmbedPress plugin naar versie 4.0.10 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webserver gebruiker om de impact van een succesvolle exploitatie te verminderen. Controleer de WordPress configuratie op onnodige bestandsrechten. Na de upgrade, controleer de WordPress logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare endpoint te benaderen en te verifiëren dat de toegang geweigerd wordt.
Actualiza el plugin EmbedPress a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 4.0.9. Para actualizar, ve al panel de administración de WordPress, luego a la sección de 'Plugins' y busca 'EmbedPress'. Haz clic en 'Actualizar' si hay una versión más reciente disponible.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-43328 is a Path Traversal vulnerability in the EmbedPress WordPress plugin allowing attackers to potentially include arbitrary files, leading to sensitive data exposure or code execution.
Yes, if you are using EmbedPress version 4.0.9 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade the EmbedPress plugin to version 4.0.10 or later to resolve the vulnerability. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the EmbedPress website and WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.