Platform
wordpress
Component
wp-fastest-cache
Opgelost in
1.2.7
CVE-2024-4347 beschrijft een Arbitrary File Access kwetsbaarheid in de WP Fastest Cache plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te verwijderen, wat kan leiden tot ernstige gevolgen voor de integriteit van de website en de server. De kwetsbaarheid treft versies van WP Fastest Cache tot en met 1.2.6. Een beveiligde upgrade is beschikbaar.
Een succesvolle exploitatie van CVE-2024-4347 kan leiden tot het compromitteren van de gehele WordPress-installatie. Aangezien de aanvaller willekeurige bestanden kan verwijderen, is het mogelijk om cruciale configuratiebestanden zoals wp-config.php te verwijderen, waardoor de toegang tot de database en de website wordt verstoord. In gedeelde hostingomgevingen kan de kwetsbaarheid zelfs worden gebruikt om bestanden van andere websites op dezelfde server te beïnvloeden. De impact is aanzienlijk, aangezien het verlies van wp-config.php direct leidt tot een onbeschikbare website en potentieel tot dataverlies.
CVE-2024-4347 is openbaar bekend en er zijn mogelijk reeds proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status pending). Er zijn momenteel geen meldingen van actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid, maar de mogelijkheid bestaat gezien de relatieve eenvoud van de exploitatie.
WordPress websites using the WP Fastest Cache plugin, particularly those hosted on shared hosting environments, are at risk. Sites with weak user authentication or those that haven't implemented proper access controls are especially vulnerable. Legacy WordPress installations with outdated plugins are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep "WP Fastest Cache"• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r "specificDeleteCache" /var/www/html/wp-content/plugins/wp-fastest-cache/• generic web: Check WordPress plugin directory for updates and security advisories related to WP Fastest Cache.
disclosure
Exploit Status
EPSS
5.50% (90% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-4347 is het upgraden van de WP Fastest Cache plugin naar een beveiligde versie. Controleer de officiële website van WP Fastest Cache voor de meest recente versie. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van de gebruiker die toegang heeft tot de plugin. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om verdachte verzoeken te blokkeren. Controleer de WordPress-logbestanden op pogingen tot directory traversal.
Actualice el plugin WP Fastest Cache a la última versión disponible. La vulnerabilidad que permite el borrado arbitrario de archivos se ha corregido en versiones posteriores a la 1.2.6.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-4347 is a vulnerability in WP Fastest Cache versions up to 1.2.6 that allows authenticated attackers to delete arbitrary files on the server, potentially compromising the site or shared hosting environment.
You are affected if you are using WP Fastest Cache version 1.2.6 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the WP Fastest Cache plugin to a version newer than 1.2.6. If upgrading is not immediately possible, implement temporary mitigations like restricting file access permissions and using a WAF.
There is currently no confirmed active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the WP Fastest Cache official website and WordPress plugin directory for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.