Plataforma
wordpress
Componente
error-log-viewer-wp
Corregido en
1.0.2
El plugin Error Log Viewer By WP Guru para WordPress es vulnerable a una falla de Acceso Arbitrario a Archivos. Esta vulnerabilidad permite a atacantes no autenticados leer el contenido de archivos arbitrarios en el servidor, comprometiendo potencialmente información sensible. Afecta a todas las versiones hasta la 1.0.1.3. Se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para leer archivos en el servidor web, incluyendo archivos de configuración, claves de API, contraseñas, y otros datos confidenciales. La lectura de estos archivos puede revelar información crítica sobre la infraestructura del sitio web, permitiendo al atacante comprometer aún más el sistema. El acceso no autenticado a esta funcionalidad significa que no se requiere autenticación para explotar la vulnerabilidad, lo que aumenta significativamente el riesgo. La exposición de información sensible podría resultar en robo de datos, escalada de privilegios, o incluso el control completo del servidor.
La vulnerabilidad fue publicada el 7 de enero de 2025. No se han reportado casos de explotación activa en la actualidad. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
WordPress websites using the Error Log Viewer By WP Guru plugin, particularly those running versions prior to 1.0.1.3, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the exposure of data from other sites.
• wordpress / composer / npm:
grep -r 'wp_ajax_nopriv_elvwp_log_download' /var/www/html/wp-content/plugins/error-log-viewer-by-wp-guru/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=elvwp_log_download&file=/etc/passwd• wordpress / composer / npm:
wp plugin list | grep 'Error Log Viewer By WP Guru'disclosure
Estado del Exploit
EPSS
92.98% (100% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Error Log Viewer By WP Guru a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al archivo wp-config.php y otros archivos sensibles a través de permisos del servidor. Implementar un firewall de aplicaciones web (WAF) puede ayudar a bloquear solicitudes maliciosas dirigidas a la función vulnerable. Monitorear los logs del servidor en busca de intentos de acceso a archivos no autorizados es crucial para detectar y responder a posibles ataques.
Actualice el plugin Error Log Viewer By WP Guru a una versión posterior a la 1.0.1.3. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12849 is a vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server running the Error Log Viewer By WP Guru plugin versions up to 1.0.1.3.
You are affected if you are using the Error Log Viewer By WP Guru plugin in WordPress and are running a version equal to or less than 1.0.1.3. Check your plugin version immediately.
Update the Error Log Viewer By WP Guru plugin to the latest available version. If immediate upgrade is not possible, restrict access to the vulnerable AJAX endpoint.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.