wpwax Post Grid, Slider & Carousel Ultimate Plugin bis 1.6.10 auf WordPress Shortcode pgcu Local Privilege Escalation
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle mit der Einstufung problematisch in wpwax Post Grid, Slider & Carousel Ultimate Plugin bis 1.6.10 auf WordPress gefunden. Dabei betrifft es die Funktion pgcu der Komponente Shortcode Handler. Dank Manipulation mit unbekannten Daten kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden.
Diese Schwachstelle trägt die Bezeichnung CVE-2024-13408. Umgesetzt werden muss der Angriff lokal. Es gibt keinen verfügbaren Exploit.
Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Eine problematische Schwachstelle wurde in wpwax Post Grid, Slider & Carousel Ultimate Plugin bis 1.6.10 auf WordPress entdeckt. Betroffen davon ist die Funktion pgcu der Komponente Shortcode Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-98. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
The Post Grid, Slider & Carousel Ultimate – with Shortcode, Gutenberg Block & Elementor Widget plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 1.6.10 via the 'theme' attribute of the `pgcu` shortcode. This makes it possible for authenticated attackers, with Contributor-level access and above, to include and execute arbitrary files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where php files can be uploaded and included.Die Schwachstelle wurde durch Djaidja Moundjid veröffentlicht. Auf wordfence.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 15.01.2025 als CVE-2024-13408 statt. Sie gilt als leicht auszunutzen. Der Angriff muss lokal passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Ein Upgrade auf die Version 1.7, includes, classes oder shortcode.php vermag dieses Problem zu beheben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.2VulDB Meta Temp Score: 7.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 8.8
NVD Vector: 🔍
CNA Base Score: 7.5
CNA Vector (Wordfence): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Local Privilege EscalationCWE: CWE-98
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Post Grid, Slider & Carousel Ultimate Plugin 1.7/includes/classes/shortcode.php
Timeline
15.01.2025 🔍24.01.2025 🔍
24.01.2025 🔍
05.02.2025 🔍
Quellen
Advisory: wordfence.comPerson: Djaidja Moundjid
Status: Bestätigt
CVE: CVE-2024-13408 (🔍)
GCVE (CVE): GCVE-0-2024-13408
GCVE (VulDB): GCVE-100-293258
Eintrag
Erstellt: 24.01.2025 13:04Aktualisierung: 05.02.2025 11:29
Anpassungen: 24.01.2025 13:04 (33), 24.01.2025 13:07 (34), 24.01.2025 13:38 (4), 05.02.2025 11:29 (12)
Komplett: 🔍
Editor: mitr
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.