Plataforma
wordpress
Componente
wpdirectorykit
Corregido en
1.1.10
La vulnerabilidad CVE-2023-2278 afecta al plugin WP Directory Kit para WordPress, específicamente en versiones hasta la 1.1.9. Esta vulnerabilidad de Inclusión de Archivos Local (LFI) permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor. El impacto es crítico, ya que puede resultar en la ejecución de código malicioso y la toma de control del sitio web.
Un atacante puede explotar esta vulnerabilidad para incluir archivos PHP arbitrarios en el servidor web. Esto significa que pueden ejecutar código malicioso directamente en el contexto del servidor web, lo que les permite obtener acceso no autorizado a datos sensibles, modificar archivos del sitio web, o incluso tomar el control completo del servidor. La ejecución de código arbitrario permite la escalada de privilegios y el movimiento lateral dentro de la red. La capacidad de subir imágenes u otros archivos aparentemente seguros y luego incluirlos a través de la vulnerabilidad amplifica el riesgo, ya que facilita la inyección de código malicioso.
Esta vulnerabilidad ha sido publicada públicamente y se considera de alta probabilidad de explotación debido a su simplicidad y el amplio uso de WordPress. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la vulnerabilidad la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas WordPress para detectar cualquier actividad sospechosa.
Websites using the WP Directory Kit plugin, particularly those running older versions (≤1.1.9) and those with limited security configurations, are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'wdk_public_action' /var/www/html/wp-content/plugins/wp-directory-kit/• wordpress / composer / npm:
wp plugin list | grep 'wp-directory-kit'• wordpress / composer / npm:
wp plugin update wp-directory-kit• generic web: Check WordPress plugin directory for updated versions and security advisories. • generic web: Review web server access logs for suspicious requests targeting the vulnerable endpoint.
disclosure
Estado del Exploit
EPSS
0.66% (71% percentil)
Vector CVSS
La mitigación principal es actualizar el plugin WP Directory Kit a una versión corregida (superior a 1.1.9). Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restrinja los permisos de escritura en el directorio de plugins para evitar la subida de archivos maliciosos. Implemente reglas en un Web Application Firewall (WAF) para bloquear solicitudes que intenten incluir archivos no autorizados. Revise los archivos del plugin en busca de código sospechoso y elimine cualquier archivo no autorizado. Monitoree los registros del servidor web en busca de intentos de inclusión de archivos.
Actualice el plugin WP Directory Kit a la última versión disponible. La vulnerabilidad permite la inclusión de archivos locales, lo que podría permitir la ejecución de código arbitrario en el servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-2278 es una vulnerabilidad de Inclusión de Archivos Local (LFI) en el plugin WP Directory Kit para WordPress, que permite la ejecución de código arbitrario en el servidor.
Si está utilizando WP Directory Kit en una versión igual o inferior a 1.1.9, es vulnerable a esta vulnerabilidad. Verifique la versión del plugin en su panel de administración de WordPress.
La solución es actualizar el plugin WP Directory Kit a la última versión disponible, que incluye la corrección de esta vulnerabilidad.
Aunque no se ha confirmado la explotación activa en campañas conocidas, la vulnerabilidad es pública y de alta probabilidad de explotación, por lo que se recomienda tomar medidas preventivas.
Consulte el sitio web del desarrollador de WP Directory Kit o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.