Platform
wordpress
Component
maxslider
Opgelost in
1.2.4
CVE-2024-47351 beschrijft een 'Path Traversal' kwetsbaarheid in de MaxSlider WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de toegestane directory te benaderen, wat kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft versies van MaxSlider tot en met 1.2.3, en een update naar versie 1.2.4 of hoger is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan aanzienlijke gevolgen hebben voor een WordPress website. Een aanvaller kan toegang krijgen tot kritieke systeembestanden, configuratiebestanden en mogelijk zelfs broncode. Dit kan leiden tot data-exfiltratie, wijziging van website-inhoud, of zelfs volledige controle over de server. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de aanvaller de mogelijkheid heeft om de directory structuur te navigeren en bestanden te benaderen die anders niet toegankelijk zouden zijn. De ernst van de impact hangt af van de gevoeligheid van de bestanden die toegankelijk zijn via deze route.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-10-16. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de Path Traversal aard ervan maakt het een aantrekkelijk doelwit voor automatische scanners. De CVSS score van 7.5 (HIGH) geeft aan dat de kwetsbaarheid een significant risico vormt. Het is aan te raden om de WordPress installatie te monitoren op verdachte activiteit.
WordPress websites utilizing the MaxSlider plugin, particularly those running older versions (≤1.2.3), are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may be less able to implement workarounds or monitor for suspicious activity. Sites with sensitive data stored on the same server are also at heightened risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/maxslider/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/maxslider/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep maxslider• wordpress / composer / npm:
wp plugin update maxsliderdisclosure
Exploit Status
EPSS
0.29% (53% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-47351 is het updaten van de MaxSlider plugin naar versie 1.2.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de WordPress installatie via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met verdachte paden te blokkeren, zoals verzoeken die dubbele slashes (//) of padnavigatie sequenties (../) bevatten. Controleer ook de bestandsrechten op de server om ervoor te zorgen dat de webserver geen ongeautoriseerde toegang heeft tot gevoelige bestanden.
Actualiza el plugin MaxSlider a la última versión disponible. Si no hay una versión más reciente, considera deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Verifica que el plugin esté actualizado regularmente para evitar futuras vulnerabilidades.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-47351 is a Path Traversal vulnerability affecting the MaxSlider WordPress plugin, allowing attackers to read arbitrary files on the server.
You are affected if you are using MaxSlider version 1.2.3 or earlier. Upgrade to version 1.2.4 to resolve the vulnerability.
Upgrade the MaxSlider plugin to version 1.2.4 or later. Consider temporary workarounds like WAF rules and file access restrictions if immediate upgrade is not possible.
As of now, there are no known public exploits or active campaigns targeting CVE-2024-47351, but proactive patching is still recommended.
Refer to the CSSIgniter Team's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.