Platform
wordpress
Component
ultimate-classified-listings
Opgelost in
1.4.1
CVE-2024-52448 beschrijft een Path Traversal kwetsbaarheid in WebCodingPlace Ultimate Classified Listings. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om via PHP Local File Inclusion (LFI) toegang te krijgen tot bestanden buiten de toegestane directory. De kwetsbaarheid treft versies van Ultimate Classified Listings tot en met 1.4. Een update naar versie 1.4.1 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot onbevoegde toegang tot gevoelige bestanden op de webserver. Dit omvat mogelijk configuratiebestanden, broncode, database credentials en andere kritieke informatie. De aanvaller kan deze informatie gebruiken om de server verder te compromitteren, gevoelige data te stelen of de website te manipuleren. Het potentieel voor schade is aanzienlijk, aangezien een aanvaller de controle over de server kan overnemen en de integriteit van de website kan aantasten. Verder kan de aanvaller de kwetsbaarheid gebruiken om andere systemen binnen het netwerk te bereiken, afhankelijk van de configuratie en toegangsrechten.
Op dit moment is er geen publieke exploitatie van CVE-2024-52448 bekend. De kwetsbaarheid is op 2024-11-20 publiekelijk bekendgemaakt. De CVSS-score van 7.5 (HIGH) duidt op een potentieel significant risico. Er is geen vermelding op CISA KEV op dit moment. Het is aan te raden om de kwetsbaarheid serieus te nemen en onmiddellijk te mitigeren.
WordPress websites utilizing the Ultimate Classified Listings plugin, particularly those running versions 1.4 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable, as are sites with outdated or unmanaged WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-classified-listings/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/ultimate-classified-listings/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.22% (44% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-52448 is het updaten van Ultimate Classified Listings naar versie 1.4.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de PHP-gebruiker of het implementeren van een Web Application Firewall (WAF) met regels om path traversal pogingen te detecteren en te blokkeren. Controleer ook de bestandsrechten op de server om te zorgen dat onbevoegde gebruikers geen toegang hebben tot gevoelige bestanden. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen via een URL; dit zou een foutmelding moeten opleveren.
Actualice el plugin Ultimate Classified Listings a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de inclusión de archivos locales.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-52448 is a Path Traversal vulnerability in the Ultimate Classified Listings WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Ultimate Classified Listings version 1.4 or earlier, you are affected by this vulnerability.
Upgrade to version 1.4.1 or later to remediate the vulnerability. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the WebCodingPlace website and WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.