Platform
wordpress
Component
wp-event-solution
Opgelost in
4.0.9
CVE-2024-7149 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de Eventin WordPress plugin. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te includeren en uit te voeren, wat kan leiden tot code-uitvoering. De kwetsbaarheid treft versies van de plugin tot en met 4.0.8. Een upgrade naar een beveiligde versie is de aanbevolen oplossing.
Een succesvolle exploitatie van CVE-2024-7149 kan verstrekkende gevolgen hebben. Een geauthenticeerde aanvaller, zelfs met beperkte rechten (Contributor-niveau), kan PHP-code op de server uitvoeren. Dit opent de deur naar het omzeilen van toegangscontroles, het stelen van gevoelige data (zoals database credentials, configuratiebestanden, of gebruikersgegevens) en het verkrijgen van volledige controle over de WordPress-installatie. Afhankelijk van de configuratie van de server en de rechten van de gebruiker, kan de aanvaller ook toegang krijgen tot andere systemen op hetzelfde netwerk. De impact is vergelijkbaar met andere LFI-kwetsbaarheden die code-uitvoering mogelijk maken, en kan leiden tot een compromittering van de gehele website en de onderliggende server.
Op dit moment is er geen publieke exploitatie van CVE-2024-7149 bekend, maar de kwetsbaarheid is wel opgenomen in het CISA KEV catalogus (KEV). Er zijn wel publieke Proof-of-Concept (PoC) exploits beschikbaar, wat het risico op uitbuiting verhoogt. De relatief eenvoudige aard van LFI-kwetsbaarheden maakt het waarschijnlijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt, vooral gezien de populariteit van WordPress en de Eventin plugin.
Websites utilizing the Eventin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unable to implement effective mitigation measures beyond plugin updates.
• wordpress / composer / npm:
grep -r 'style=' /var/www/html/wp-content/plugins/eventin/• wordpress / composer / npm:
wp plugin list | grep eventin• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
Exploit Status
EPSS
0.71% (72% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-7149 is het upgraden van de Eventin WordPress plugin naar een beveiligde versie. Controleer de officiële website van de plugin of de WordPress plugin repository voor de meest recente versie. Indien een directe upgrade niet mogelijk is (bijvoorbeeld door compatibiliteitsproblemen met andere plugins of thema's), overweeg dan tijdelijke mitigaties zoals het beperken van de uploadmachtigingen voor bestanden of het implementeren van een Web Application Firewall (WAF) die LFI-pogingen kan detecteren en blokkeren. Controleer ook de WordPress configuratie op onnodige permissies. Na de upgrade, controleer de WordPress logs op verdachte activiteiten en verifieer dat de kwetsbaarheid is verholpen door te proberen de kwetsbare parameter te gebruiken en te controleren of de toegang wordt geweigerd.
Actualice el plugin Eventin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes autenticados ejecutar código PHP arbitrario en el servidor. La actualización corrige esta vulnerabilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-7149 is a Local File Inclusion vulnerability in the Eventin WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Eventin plugin versions 4.0.8 or earlier. Check your plugin version and upgrade as soon as a patch is available.
Upgrade the Eventin plugin to the latest version as soon as a patch is released by the vendor. Until then, restrict file upload permissions and implement input validation.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests active exploitation is possible.
Check the Eventin plugin website and WordPress plugin repository for the official advisory and patch release.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.