Een serieus beveiligingsprobleem, CVE-2024-9648, is ontdekt in de populaire WordPress-plugin WP ULike Pro. Deze kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om beperkte willekeurige bestanden te uploaden, zoals .php2, .php6 en andere op de server van de getroffen site. Dit kan verder leiden tot aanvullende aanvallen, zoals Cross-Site Scripting.
Dit probleem treft alle versies van WP ULike Pro tot en met 1.9.3. De kwetsbaarheid werd bevestigd in versie 1.8.7, maar versie 1.9.4 wordt beschouwd als de versie waarin de fout is verholpen.
Overzicht
- Kwetsbaarheid: Ongecontroleerde upload van gevaarlijke bestandstypen (CWE-434)
- Basis Score: 6.1 (Medium Severity)
- Beginpunt remediering: Versie 1.9.4 van WP ULike Pro
Aanbevelingen
- Update WP ULike Pro naar versie 1.9.4 of hoger om deze kwetsbaarheid te verhelpen.
- Controleer of uw site andere beveiligingslekken bevat die in dit kader kunnen worden misbruikt.
Bronnen
Vraag en Antwoord
Wat is CVE-2024-9648?
Dit CVE identificeert een kwetsbaarheid in WP ULike Pro waarmee ongeauthenticeerde gebruikers gevaarlijke bestanden kunnen uploaden naar uw server.
Welke systemen zijn kwetsbaar voor CVE-2024-9648?
Alle installaties van WP ULike Pro tot en met versie 1.9.3 zijn kwetsbaar. Het wordt sterk aanbevolen om te upgraden naar ten minste versie 1.9.4.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 1.9.4 van WP ULike Pro bevat een patch voor deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan deze kwetsbaarheid gebruiken om gevaarlijke bestanden op uw server te uploaden, waardoor potentiële aanvallen zoals Cross-Site Scripting mogelijk worden.
