Plataforma
wordpress
Componente
campress
Corregido en
1.35.1
La vulnerabilidad CVE-2024-10763 afecta al tema Campress para WordPress, permitiendo una Inclusión de Archivos Local (LFI). Esta falla permite a atacantes no autenticados incluir y ejecutar archivos PHP arbitrarios en el servidor, lo que puede resultar en la ejecución de código malicioso. La vulnerabilidad se encuentra presente en todas las versiones hasta la 1.35, y la solución recomendada es actualizar el tema a una versión corregida.
Un atacante que explote esta vulnerabilidad puede incluir archivos PHP arbitrarios en el servidor, lo que le permite ejecutar código malicioso con los privilegios del usuario web. Esto podría resultar en la obtención de información confidencial, la modificación de archivos del sitio web, la toma de control del servidor o la ejecución de comandos arbitrarios. La capacidad de incluir archivos arbitrarios permite a un atacante subir un archivo PHP malicioso y luego incluirlo, lo que le da control sobre la ejecución del código en el servidor. Esta vulnerabilidad es particularmente grave debido a su facilidad de explotación y el alto impacto potencial.
La vulnerabilidad CVE-2024-10763 fue publicada el 13 de febrero de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la publicación. Sin embargo, la naturaleza de la vulnerabilidad (LFI) la hace susceptible a explotación, y se recomienda tomar medidas preventivas para mitigar el riesgo.
WordPress websites using the Campress theme, particularly those with default or weak security configurations, are at significant risk. Shared hosting environments where multiple WordPress instances share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites that have not implemented robust file access controls are also at increased risk.
• wordpress / composer / npm:
grep -r 'campress_woocommerce_get_ajax_products' /var/www/html/wp-content/themes/campress/• generic web:
curl -I https://your-wordpress-site.com/wp-content/themes/campress/ | grep -i 'campress_woocommerce_get_ajax_products'• wordpress / composer / npm:
wp plugin list | grep campressdisclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-10763 es actualizar el tema Campress a una versión corregida que solucione la vulnerabilidad de Inclusión de Archivos Local. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a los archivos sensibles del servidor y aplicar reglas de firewall para bloquear el acceso no autorizado a la función 'campresswoocommercegetajaxproducts'. Además, se recomienda monitorear los logs del servidor en busca de actividad sospechosa, como intentos de inclusión de archivos no autorizados. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor y realizando pruebas de penetración.
Actualice el tema Campress a una versión posterior a la 1.35. Si no hay una actualización disponible, considere deshabilitar o reemplazar el tema hasta que se publique una versión corregida. Consulte la documentación del tema para obtener instrucciones específicas sobre cómo actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-10763 es una vulnerabilidad de Inclusión de Archivos Local (LFI) en el tema Campress para WordPress que permite a atacantes ejecutar código arbitrario en el servidor.
Si está utilizando el tema Campress en versiones anteriores a 1.35, es vulnerable a esta vulnerabilidad. Actualice a la última versión disponible.
La solución es actualizar el tema Campress a una versión corregida que solucione la vulnerabilidad de Inclusión de Archivos Local. Si no puede actualizar, aplique mitigaciones como restringir el acceso a archivos sensibles.
No se han reportado exploits públicos activos al momento de la publicación, pero la vulnerabilidad es susceptible a explotación y se recomienda tomar medidas preventivas.
Consulte el sitio web oficial de Campress o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.