Plataforma
wordpress
Componente
wp-file-upload
Corregido en
4.24.16
La vulnerabilidad CVE-2024-11613 afecta al plugin WordPress File Upload para WordPress, permitiendo la Ejecución Remota de Código (RCE), Lectura Arbitraria de Archivos y Eliminación Arbitraria de Archivos. Esta falla se debe a la falta de sanitización adecuada del parámetro 'source' y a la aceptación de una ruta de directorio definida por el usuario. Las versiones afectadas son todas las versiones hasta la 4.24.15. Se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor donde está instalado el plugin WordPress File Upload. Esto podría resultar en la toma de control completa del sitio web, robo de datos sensibles, modificación de contenido o incluso el uso del servidor para lanzar ataques a otros sistemas. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el riesgo, ya que cualquier persona con acceso a la red puede intentar explotarla. La posibilidad de lectura y eliminación arbitraria de archivos también aumenta el potencial de daño, permitiendo a los atacantes comprometer la integridad del sitio web y sus datos.
La vulnerabilidad CVE-2024-11613 ha sido publicada el 8 de enero de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Se recomienda monitorear activamente los sistemas WordPress para detectar posibles intentos de explotación. La falta de autenticación necesaria para la explotación la convierte en un objetivo atractivo para atacantes.
WordPress websites utilizing the File Upload plugin, particularly those running older versions (≤4.24.15), are at significant risk. Shared hosting environments are especially vulnerable, as they often lack granular control over plugin updates and security configurations. Websites with custom integrations or extensions built on top of the File Upload plugin may also be affected.
• wordpress / composer / npm:
grep -r 'wfu_file_downloader.php' /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wordpress-file-upload/wfu_file_downloader.php | grep -i 'source='• wordpress / composer / npm:
wp plugin list | grep 'WordPress File Upload'• wordpress / composer / npm:
wp plugin update wordpress-file-upload --alldisclosure
Estado del Exploit
EPSS
66.12% (99% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WordPress File Upload a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda restringir el acceso al archivo 'wfufiledownloader.php' a través de un firewall de aplicaciones web (WAF) o configurando reglas en el servidor web para bloquear solicitudes no autorizadas. Además, se debe revisar y endurecer la configuración del plugin para limitar los permisos de acceso a archivos y directorios. Después de la actualización, confirme la mitigación verificando que el archivo 'wfufiledownloader.php' ya no sea vulnerable a la ejecución de código arbitrario.
Actualice el plugin WordPress File Upload a la última versión disponible. Esto solucionará las vulnerabilidades de ejecución remota de código, lectura arbitraria de archivos y eliminación arbitraria de archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11613 is a critical Remote Code Execution vulnerability in the WordPress File Upload plugin, allowing attackers to execute code on the server without authentication.
You are affected if you are using the WordPress File Upload plugin version 4.24.15 or earlier. Check your plugin version and upgrade immediately.
Upgrade the WordPress File Upload plugin to the latest available version with the security patch. If upgrading is not immediately possible, disable the plugin temporarily.
While active exploitation is not yet confirmed, the vulnerability's ease of exploitation suggests it is likely to be targeted soon. Monitor your systems closely.
Refer to the WordPress security announcements page and the WordPress File Upload plugin's official website for updates and advisories regarding CVE-2024-11613.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.