Platform
wordpress
Component
wp-cookies-enabler
Opgelost in
1.0.2
CVE-2024-54380 beschrijft een Path Traversal kwetsbaarheid in de WordPress plugin WP Cookies Enabler. Deze kwetsbaarheid stelt een aanvaller in staat om PHP Local File Inclusion uit te voeren, wat kan leiden tot het lezen van gevoelige bestanden op de server. De kwetsbaarheid treft versies van WP Cookies Enabler tot en met 1.0.1. Een fix is beschikbaar in versie 1.0.2.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan PHP-code op de server uitvoeren door middel van Local File Inclusion. Dit kan leiden tot het uitlezen van configuratiebestanden, database credentials, of andere gevoelige informatie. In het ergste geval kan de aanvaller volledige controle over de server overnemen, vooral als de server onvoldoende beveiligd is. De impact is vergelijkbaar met andere Local File Inclusion kwetsbaarheden waarbij de aanvaller toegang krijgt tot bestanden buiten de toegestane directory.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes of KEV-listing op het moment van schrijven. Er zijn geen publieke proof-of-concept exploits bekend, maar de kwetsbaarheid is eenvoudig te exploiteren en kan snel worden misbruikt. De kwetsbaarheid werd publiek gemaakt op 2024-12-16.
Websites using the WP Cookies Enabler plugin, particularly those running older versions (≤1.0.1), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites with weak file access permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-cookies-enabler/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/wp-cookies-enabler/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.18% (40% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van WP Cookies Enabler naar versie 1.0.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker om de schade te beperken in geval van een exploitatie. Controleer ook de WordPress configuratie op mogelijke beveiligingslekken. Na de upgrade, controleer de serverlogs op verdachte activiteiten die verband houden met de kwetsbaarheid.
Actualice el plugin WP Cookies Enabler a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-54380 is a Path Traversal vulnerability in WP Cookies Enabler allowing attackers to potentially include arbitrary files, leading to sensitive information disclosure or code execution.
Yes, if you are using WP Cookies Enabler version 1.0.1 or earlier, you are affected by this vulnerability.
Upgrade WP Cookies Enabler to version 1.0.2 or later. As a temporary workaround, restrict file access permissions and implement WAF rules.
While no active exploitation has been widely reported, the vulnerability is well-understood and the plugin's popularity makes it a potential target.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.