Plataforma
wordpress
Componente
fileorganizer
Corregido en
1.1.5
La vulnerabilidad CVE-2024-11010 afecta al plugin FileOrganizer – Manage WordPress and Website Files para WordPress. Esta vulnerabilidad de Inclusión de Archivos JavaScript Local (JSFI) permite a atacantes autenticados con acceso de administrador o superior incluir y ejecutar archivos JavaScript arbitrarios en el servidor. Las versiones afectadas son aquellas iguales o inferiores a 1.1.4. Se recomienda actualizar el plugin a la última versión disponible o implementar medidas de mitigación para reducir el riesgo.
Un atacante con privilegios de administrador puede explotar esta vulnerabilidad para ejecutar código JavaScript malicioso en el servidor WordPress. Esto podría resultar en la exfiltración de información sensible, como credenciales de usuario, claves API o datos confidenciales almacenados en la base de datos. Además, el atacante podría modificar el comportamiento de la aplicación, inyectar código malicioso en otras páginas web o incluso tomar el control completo del servidor. La inclusión de archivos JavaScript arbitrarios permite eludir controles de acceso y ejecutar código en el contexto del usuario administrador, ampliando significativamente el impacto potencial. Esta vulnerabilidad comparte similitudes con otras vulnerabilidades de inclusión de archivos, donde la falta de validación adecuada de la entrada del usuario permite la ejecución de código no deseado.
La vulnerabilidad CVE-2024-11010 fue publicada el 7 de diciembre de 2024. No se ha añadido a la lista KEV de CISA al momento de esta redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad JSFI la hace susceptible a explotación. Se recomienda monitorear los registros del servidor y las alertas de seguridad para detectar cualquier actividad sospechosa.
WordPress websites utilizing the FileOrganizer plugin, particularly those with administrator accounts that have weak passwords or are otherwise vulnerable to compromise, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the exploitation of this vulnerability on other sites.
• wordpress / composer / npm:
grep -r 'default_lang' /var/www/html/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/• wordpress / composer / npm:
wp plugin list --status=all | grep fileorganizer• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/ | grep default_langdisclosure
Estado del Exploit
EPSS
0.30% (53% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin FileOrganizer – Manage WordPress and Website Files a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al parámetro 'default_lang' para evitar la inclusión de archivos no autorizados. Implementar una WAF (Web Application Firewall) con reglas que bloqueen solicitudes que intenten incluir archivos JavaScript desde fuentes no confiables puede proporcionar una capa adicional de protección. Además, es crucial revisar los permisos de usuario y asegurarse de que solo los usuarios autorizados tengan acceso de administrador. Después de la actualización, verifique la integridad del plugin y asegúrese de que no haya archivos sospechosos en el directorio del plugin.
Actualice el plugin FileOrganizer a la última versión disponible. La vulnerabilidad permite la inclusión de archivos JavaScript locales, lo que podría comprometer la seguridad del sitio web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11010 is a vulnerability in the FileOrganizer WordPress plugin that allows authenticated administrators to include and execute arbitrary JavaScript files, potentially leading to data theft or code execution.
You are affected if you are using the FileOrganizer plugin version 1.1.4 or earlier. Check your plugin versions and update immediately.
Update the FileOrganizer plugin to the latest available version. If an upgrade is not immediately possible, consider restricting access to the 'default_lang' parameter.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation suggests it could become a target.
Refer to the plugin developer's website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.