Platform
wordpress
Component
instant-chat-wp
Opgelost in
1.0.6
CVE-2024-44018 is een 'Path Traversal' kwetsbaarheid in de Instant Chat Floating Button plugin voor WordPress Websites. Deze kwetsbaarheid maakt PHP Local File Inclusion mogelijk, waardoor een aanvaller potentieel gevoelige bestanden op de server kan benaderen. De kwetsbaarheid treft versies van de plugin tot en met 1.0.5. Een patch is beschikbaar in versie 1.0.6.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om willekeurige PHP-bestanden op de webserver te includeren. Dit kan leiden tot het uitlezen van configuratiebestanden, broncode of andere gevoelige informatie. In het ergste geval kan een aanvaller zelfs code uitvoeren op de server, wat resulteert in volledige controle over de website en de onderliggende infrastructuur. De impact is vergelijkbaar met andere Local File Inclusion kwetsbaarheden, waarbij de aanvaller de mogelijkheid heeft om de functionaliteit van de applicatie te misbruiken en de integriteit van de data in gevaar te brengen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar gezien de populariteit van WordPress plugins is het waarschijnlijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt. De kwetsbaarheid is opgenomen in het NVD-register op 2024-10-05.
WordPress websites utilizing the Instant Chat Floating Button plugin, particularly those running older versions (≤1.0.5), are at risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher density of potential targets.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/instant-chat-floating-button/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/instant-chat-floating-button/?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.30% (53% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Instant Chat Floating Button plugin naar versie 1.0.6 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegangsrechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren. Controleer ook de WordPress configuratie op onnodige permissies en zorg ervoor dat de plugin directory niet direct toegankelijk is via het web.
Actualice el plugin Instant Chat WP a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte la página del plugin en WordPress.org para obtener más información y actualizaciones.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-44018 is a Path Traversal vulnerability affecting the Instant Chat Floating Button plugin for WordPress, allowing attackers to potentially include arbitrary files.
You are affected if you are using Instant Chat Floating Button for WordPress Websites version 1.0.5 or earlier.
Upgrade the Instant Chat Floating Button plugin to version 1.0.6 or later. Consider temporary workarounds like restricting file access permissions and implementing WAF rules.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Check the Istmo Plugins website and WordPress plugin repository for updates and advisories related to CVE-2024-44018.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.