Platform
wordpress
Component
wp-timelines
Opgelost in
3.6.8
CVE-2024-47324 beschrijft een Path Traversal kwetsbaarheid in de WP Timeline – Vertical and Horizontal timeline plugin voor WordPress. Deze kwetsbaarheid stelt een aanvaller in staat om PHP-bestanden lokaal te includeren, wat potentieel kan leiden tot code-uitvoering op de server. De kwetsbaarheid treft versies van de plugin tot en met 3.6.7, en is verholpen in versie 3.6.8.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan een aanvaller in staat stellen om willekeurige PHP-bestanden op de server te includeren. Dit kan leiden tot code-uitvoering, waardoor de aanvaller de controle over de WordPress-installatie kan overnemen. De aanvaller kan toegang krijgen tot gevoelige informatie, zoals database credentials, en de website kan worden gebruikt voor kwaadaardige doeleinden, zoals het verspreiden van malware of het uitvoeren van phishing-aanvallen. De impact is aanzienlijk, aangezien de aanvaller potentieel volledige controle over de server kan verkrijgen.
Deze kwetsbaarheid is publiekelijk bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de Path Traversal aard van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van mitigatie onderstreept. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven.
Websites using the WP Timeline – Vertical and Horizontal timeline plugin, particularly those running older versions (≤3.6.7), are at risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher density of vulnerable plugins.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-timeline/• wordpress / composer / npm:
wp plugin list --status=inactive | grep timeline• wordpress / composer / npm:
wp plugin update wp-timeline --all• generic web: Check WordPress plugin directory for mentions of the vulnerability and associated IOCs.
disclosure
Exploit Status
EPSS
0.22% (44% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-47324 is het updaten van de WP Timeline plugin naar versie 3.6.8 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) met regels om path traversal pogingen te blokkeren. Controleer ook de WordPress-installatie op verdachte bestanden of wijzigingen die kunnen wijzen op een inbreuk. Na de upgrade, verifieer de fix door te proberen een PHP-bestand buiten de toegestane directory te includeren via de plugin; dit zou moeten falen.
Actualice el plugin WP Timeline a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad y protege su sitio web.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-47324 is a Path Traversal vulnerability in the WP Timeline plugin allowing attackers to include arbitrary files, potentially leading to code execution. It affects versions up to 3.6.7.
You are affected if you are using the WP Timeline plugin version 3.6.7 or earlier. Check your plugin version and upgrade immediately.
Upgrade the WP Timeline plugin to version 3.6.8 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file access.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation makes it a likely target. Monitor your systems for suspicious activity.
Refer to the Ex-Themes website and WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.