Platform
wordpress
Component
users-control
Opgelost in
1.0.17
CVE-2024-44015 beschrijft een Path Traversal kwetsbaarheid in Users Control, waardoor een aanvaller mogelijk PHP Local File Inclusion kan uitvoeren. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de toegestane directory te benaderen. De kwetsbaarheid treft versies van Users Control tot en met 1.0.16. Een fix is beschikbaar in versie 1.0.17.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige systeembestanden op de server waarop Users Control is geïnstalleerd. Een aanvaller kan bijvoorbeeld configuratiebestanden, broncode of andere gevoelige data uitlezen. Afhankelijk van de bestanden die toegankelijk zijn, kan dit leiden tot verdere kwetsbaarheden, zoals het uitvoeren van willekeurige code of het verkrijgen van controle over de server. Deze kwetsbaarheid is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de beperking van een bestandspad niet correct wordt afgedwongen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-10-05. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de Path Traversal aard ervan maakt het een aantrekkelijk doelwit voor automatische scanners. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status pending). Er zijn publieke Proof-of-Concept (POC) exploits beschikbaar, wat het risico op uitbuiting vergroot.
WordPress websites using the Users Control plugin, particularly those running versions prior to 1.0.17, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server file permissions and configurations, making exploitation easier.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/users-control/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/users-control/../../../../etc/passwd | head -n 1disclosure
Exploit Status
EPSS
0.30% (53% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-44015 is het upgraden van Users Control naar versie 1.0.17 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de Users Control directory via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met paden die buiten de toegestane directory vallen te blokkeren. Controleer ook de configuratie van Users Control op onjuiste bestandstoegangsrechten. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen via een web browser of tool zoals curl.
Actualiza el plugin Users Control a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.0.16. Verifica que la versión actualizada esté instalada correctamente en tu sitio de WordPress.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-44015 is a Path Traversal vulnerability in the Users Control WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using Users Control version 1.0.16 or earlier. Upgrade to version 1.0.17 to resolve the vulnerability.
Upgrade the Users Control plugin to version 1.0.17 or later. Consider temporary workarounds like WAF rules and restricted file permissions if immediate upgrade isn't possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Check the Users Control plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.