Platform
wordpress
Component
vr-calendar-sync
Opgelost in
2.4.1
CVE-2024-44013 beschrijft een Path Traversal kwetsbaarheid in de VR Calendar WordPress plugin. Deze kwetsbaarheid maakt Local File Inclusion (LFI) mogelijk, waardoor een aanvaller potentieel gevoelige bestanden op de server kan benaderen. De kwetsbaarheid treft versies van VR Calendar tot en met 2.4.0. Een patch is beschikbaar in versie 2.4.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige PHP-bestanden op de webserver te includeren. Dit kan leiden tot het uitlezen van configuratiebestanden, broncode of andere gevoelige informatie. In het ergste geval kan een aanvaller code uitvoeren op de server, wat resulteert in volledige controle over de website en de onderliggende infrastructuur. De impact is vergelijkbaar met andere LFI kwetsbaarheden, waarbij de mogelijkheid bestaat om de server te compromitteren en data te stelen of te manipuleren.
Deze kwetsbaarheid is publiekelijk bekend sinds 2024-10-05. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de Path Traversal aard ervan maakt het een aantrekkelijk doelwit voor automatische scanners. De EPSS score is waarschijnlijk medium, gezien de publieke bekendheid en de relatieve eenvoud van exploitatie. Controleer de CISA KEV catalogus voor updates over actieve exploitatie.
Websites utilizing the VR Calendar plugin, particularly those running older versions (≤2.4.0), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security. WordPress sites with weak file permission settings or inadequate input validation are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/vr-calendar/*• wordpress / composer / npm:
wp plugin list --status=active | grep vr-calendar• wordpress / composer / npm:
wp plugin update vr-calendar --alldisclosure
Exploit Status
EPSS
0.30% (53% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-44013 is het updaten van de VR Calendar plugin naar versie 2.4.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegangsrechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) met regels om path traversal pogingen te blokkeren. Controleer ook de WordPress plugin directory op eventuele tijdelijke patches of workarounds. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen via de kwetsbare endpoint.
Actualice el plugin VR Calendar a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-44013 is a Path Traversal vulnerability in the VR Calendar WordPress plugin that allows attackers to include arbitrary files, potentially leading to code execution.
You are affected if you are using VR Calendar version 2.4.0 or earlier. Upgrade to version 2.4.1 to resolve the vulnerability.
Upgrade the VR Calendar plugin to version 2.4.1 or later. As a temporary workaround, restrict file access permissions and validate user input.
While no active exploitation campaigns have been confirmed, the vulnerability's nature suggests a potential for rapid exploitation.
Refer to the Innate Images LLC website and WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.