Plataforma
wordpress
Componente
wp-skitter-slideshow
Corregido en
2.5.3
La vulnerabilidad CVE-2022-1751 afecta al plugin Skitter Slideshow para WordPress, permitiendo ataques de Server-Side Request Forgery (SSRF). Esta falla permite a atacantes no autenticados realizar solicitudes web arbitrarias desde la aplicación, comprometiendo potencialmente la seguridad de recursos internos. La vulnerabilidad se encuentra presente en todas las versiones hasta la 2.5.2, y se recomienda actualizar el plugin a una versión corregida o aplicar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad para realizar solicitudes a recursos internos que normalmente no son accesibles desde el exterior. Esto podría incluir la lectura de archivos de configuración sensibles, la interacción con servicios internos sin autenticación, o incluso la ejecución de comandos en el servidor subyacente, dependiendo de la configuración del entorno. El alcance del impacto depende de la sensibilidad de los recursos internos a los que el atacante pueda acceder a través de la solicitud forjada. La capacidad de realizar solicitudes arbitrarias aumenta significativamente el riesgo de exposición de datos y compromete la integridad del sistema.
Esta vulnerabilidad ha sido publicada públicamente el 17 de agosto de 2024. No se ha reportado su inclusión en el KEV de CISA ni se conocen campañas de explotación activas a la fecha. La disponibilidad de un proof-of-concept (PoC) público podría facilitar la explotación por parte de atacantes.
WordPress websites using the Skitter Slideshow plugin, particularly those with access to sensitive internal services or resources, are at risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'image.php' /var/www/html/wp-content/plugins/skitter-slideshow/• generic web:
curl -I https://your-wordpress-site.com/image.php?url=http://internal-service/ | grep -i 'internal-service'disclosure
Estado del Exploit
EPSS
0.85% (75% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Skitter Slideshow a una versión corregida que solucione la vulnerabilidad SSRF. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al archivo /image.php a través de un firewall de aplicaciones web (WAF) o un proxy inverso, bloqueando solicitudes externas. Además, se pueden implementar reglas de firewall para limitar las direcciones IP a las que el plugin puede realizar solicitudes. Verifique los logs del servidor en busca de patrones de solicitudes sospechosas originadas desde el plugin Skitter Slideshow.
Actualice el plugin Skitter Slideshow a la última versión disponible. Esto solucionará la vulnerabilidad SSRF (Server-Side Request Forgery) y protegerá su sitio web de posibles ataques.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-1751 es una vulnerabilidad de Server-Side Request Forgery (SSRF) en el plugin Skitter Slideshow para WordPress, permitiendo a atacantes realizar solicitudes web arbitrarias desde la aplicación.
Sí, si está utilizando Skitter Slideshow en versiones 2.5.2 o anteriores, es vulnerable a esta vulnerabilidad SSRF.
Actualice el plugin Skitter Slideshow a una versión corregida. Si no es posible, aplique mitigaciones como restringir el acceso al archivo /image.php.
A la fecha, no se han reportado campañas de explotación activas, pero la disponibilidad de un PoC público podría facilitar la explotación.
Consulte el sitio web del desarrollador de Skitter Slideshow o el repositorio del plugin en WordPress.org para obtener información oficial sobre la vulnerabilidad y las actualizaciones.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.