Platform
wordpress
Component
file-manager-advanced
Opgelost in
5.2.9
CVE-2024-8704 beschrijft een Local JavaScript File Inclusion (JSFI) kwetsbaarheid in de Advanced File Manager plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers met Administrator-rechten in staat om willekeurige bestanden op de server te includeren en uit te voeren, wat kan leiden tot code-uitvoering. De kwetsbaarheid treft WordPress websites die versie 5.2.8 of lager van de Advanced File Manager plugin gebruiken. Een upgrade naar een beveiligde versie is noodzakelijk.
Een succesvolle exploitatie van CVE-2024-8704 kan verstrekkende gevolgen hebben voor een WordPress website. Een aanvaller kan, met de juiste privileges, willekeurige PHP-code op de server uitvoeren. Dit kan leiden tot het compromitteren van de website, het stelen van gevoelige data (zoals gebruikersgegevens, database-inhoud), het manipuleren van website-inhoud en zelfs het overnemen van de volledige server. De mogelijkheid om willekeurige code uit te voeren, opent de deur naar diverse aanvallen, waaronder het installeren van malware, het creëren van backdoors en het lanceren van aanvallen op andere systemen binnen hetzelfde netwerk. Het is vergelijkbaar met exploits waarbij geüploade bestanden misbruikt worden om code uit te voeren, maar specifiek gericht op de 'fma_locale' parameter.
CVE-2024-8704 is openbaar bekend en de kwetsbaarheid is relatief eenvoudig te exploiteren, mits de aanvaller Administrator-rechten heeft. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de publicatie van de CVE en de beschikbaarheid van de plugin maken het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op het moment van schrijven).
WordPress websites utilizing the Advanced File Manager plugin, particularly those with administrator accounts that have not been secured with strong passwords or multi-factor authentication, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'fma_locale' /var/www/html/wp-content/plugins/advanced-file-manager/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/advanced-file-manager/?fma_locale=../../../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.49% (66% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-8704 is het upgraden van de Advanced File Manager plugin naar een beveiligde versie. Controleer de WordPress plugin repository voor de meest recente versie. Indien een directe upgrade niet mogelijk is vanwege compatibiliteitsproblemen met andere plugins of thema's, overweeg dan tijdelijk de plugin te deactiveren. Als een rollback naar een eerdere, bekende veilige versie mogelijk is, kan dit een tijdelijke oplossing bieden. Hoewel er geen specifieke WAF-regels of configuratiewerkarounds bekend zijn, kan het beperken van de toegestane bestandsformaten die geüpload kunnen worden, de aanvalsoppervlakte verminderen. Na de upgrade, controleer de WordPress logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen de 'fma_locale' parameter te manipuleren.
Actualice el plugin Advanced File Manager a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la inclusión de archivos JavaScript locales.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-8704 is a Local File Inclusion vulnerability in the Advanced File Manager plugin for WordPress versions up to 5.2.8, allowing authenticated admins to execute arbitrary PHP code.
You are affected if you are using the Advanced File Manager plugin for WordPress in version 5.2.8 or earlier and have administrator-level access.
Upgrade the Advanced File Manager plugin to a patched version. If upgrading is not immediately possible, restrict file upload permissions and consider a WAF.
While there are no confirmed active campaigns, the availability of a public proof-of-concept increases the risk of exploitation.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.