Platform
wordpress
Component
pandavideo
Opgelost in
1.4.1
CVE-2024-5456 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de Panda Video plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te includeren en uit te voeren, wat kan leiden tot code-uitvoering. De kwetsbaarheid treft versies van Panda Video tot en met 1.4.0. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot volledige controle over de webserver. Aanvallers met Contributor-niveau toegang of hoger kunnen PHP-code inladen en uitvoeren, waardoor ze gevoelige informatie kunnen stelen, de website kunnen manipuleren of zelfs de server kunnen compromitteren. Dit kan resulteren in dataverlies, reputatieschade en verstoring van de dienstverlening. De impact is vergelijkbaar met andere LFI-kwetsbaarheden waarbij de aanvallende code in een bestaand bestand kan worden ingevoegd en uitgevoerd, waardoor de noodzaak voor authenticatie of andere beveiligingsmaatregelen wordt omzeild.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in de NVD database op 2024-07-09. Er is geen informatie beschikbaar over actieve campagnes of KEV-status op het moment van schrijven. De CVSS score van 8.8 (HIGH) duidt op een significant risico.
WordPress websites using the Panda Video plugin, particularly those with multiple users granted Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable, as attackers may be able to upload malicious files more easily.
• wordpress / composer / npm:
grep -r 'selected_button' /var/www/html/wp-content/plugins/panda-video/• wordpress / composer / npm:
wp plugin list --status=inactive | grep panda-video• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/panda-video/ | grep selected_buttondisclosure
Exploit Status
EPSS
0.58% (69% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Panda Video plugin naar een beveiligde versie. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van gebruikers met Contributor-niveau toegang. Daarnaast kan het implementeren van een Web Application Firewall (WAF) met regels om verdachte file inclusion pogingen te blokkeren helpen. Controleer ook de WordPress configuratie op onnodige permissies en zorg ervoor dat uploads beperkt zijn tot veilige bestandstypen. Na de upgrade, controleer de server logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het testen van de 'selected_button' parameter met veilige invoer.
Actualice el plugin Panda Video a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-5456 is a Local File Inclusion vulnerability affecting the Panda Video WordPress plugin versions up to 1.4.0, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using the Panda Video plugin version 1.4.0 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Panda Video plugin to the latest available version. Check the vendor's website for the updated version.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants close monitoring.
Check the Panda Video plugin's official website or the WordPress plugin repository for the advisory and updated version.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.