Plataforma
wordpress
Componente
pandavideo
Corrigido em
1.4.1
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no plugin Panda Video para WordPress. Essa falha, presente em versões até 1.4.0, permite que atacantes autenticados com permissões de Contributor ou superiores incluam e executem arquivos arbitrários no servidor. A exploração bem-sucedida pode levar à execução de código PHP, comprometendo a confidencialidade, integridade e disponibilidade do sistema.
A vulnerabilidade LFI no Panda Video permite que um atacante, após autenticação com acesso de Contributor ou superior, inclua e execute código PHP arbitrário no servidor WordPress. Isso significa que um atacante pode, potencialmente, obter acesso a informações sensíveis armazenadas no servidor, como credenciais de banco de dados ou chaves de API. Além disso, a execução de código arbitrário pode permitir a modificação de arquivos do sistema, a instalação de malware ou até mesmo o controle total do servidor. A gravidade da vulnerabilidade é amplificada pelo fato de que atacantes com permissões relativamente baixas (Contributor) podem explorá-la.
A vulnerabilidade foi divulgada publicamente em 9 de julho de 2024. Atualmente, não há relatos de exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade LFI a torna um alvo atraente para atacantes. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração é relativamente simples para um atacante com conhecimento técnico. A vulnerabilidade não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA até o momento.
WordPress websites using the Panda Video plugin, particularly those with multiple users granted Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable, as attackers may be able to upload malicious files more easily.
• wordpress / composer / npm:
grep -r 'selected_button' /var/www/html/wp-content/plugins/panda-video/• wordpress / composer / npm:
wp plugin list --status=inactive | grep panda-video• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/panda-video/ | grep selected_buttondisclosure
Status do Exploit
EPSS
0.58% (percentil 69%)
CISA SSVC
Vetor CVSS
A mitigação imediata para a vulnerabilidade CVE-2024-5456 é atualizar o plugin Panda Video para a versão corrigida, assim que disponível. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso ao parâmetro 'selected_button' através de regras de firewall de aplicação web (WAF) ou configurações de proxy reverso, bloqueando solicitações que contenham caracteres inesperados ou caminhos relativos. Monitore os logs do servidor WordPress em busca de tentativas de inclusão de arquivos suspeitas. Implemente uma política de permissões rigorosa no WordPress, garantindo que apenas usuários com privilégios elevados tenham acesso a funcionalidades críticas.
Actualice el plugin Panda Video a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-5456 is a Local File Inclusion vulnerability affecting the Panda Video WordPress plugin versions up to 1.4.0, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using the Panda Video plugin version 1.4.0 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Panda Video plugin to the latest available version. Check the vendor's website for the updated version.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants close monitoring.
Check the Panda Video plugin's official website or the WordPress plugin repository for the advisory and updated version.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.