Plataforma
wordpress
Componente
post-grid-carousel-ultimate
Corregido en
1.6.11
La vulnerabilidad CVE-2024-13409 afecta al plugin Post Grid, Slider & Carousel Ultimate – with Shortcode, Gutenberg Block & Elementor Widget para WordPress. Esta vulnerabilidad de Inclusión de Archivos Locales (LFI) permite a atacantes autenticados, con privilegios de Contribuidor o superiores, incluir y ejecutar archivos PHP arbitrarios en el servidor. Las versiones afectadas son todas las versiones hasta la 1.6.10. Se recomienda actualizar el plugin a la última versión disponible para mitigar este riesgo.
Un atacante que explote esta vulnerabilidad puede incluir y ejecutar código PHP arbitrario en el servidor WordPress. Esto puede llevar a la ejecución remota de código (RCE), permitiendo al atacante tomar el control del sitio web. El atacante podría acceder a información sensible almacenada en el servidor, modificar archivos del sitio, instalar malware o incluso comprometer completamente el servidor. La capacidad de ejecutar código arbitrario representa un riesgo significativo para la confidencialidad, integridad y disponibilidad del sitio web y sus datos. Esta vulnerabilidad es similar a otras LFI que permiten la ejecución de código si se pueden incluir archivos PHP controlados por el atacante.
La vulnerabilidad CVE-2024-13409 fue publicada el 24 de enero de 2025. No se ha añadido a la lista KEV de CISA, pero la severidad ALTA indica una probabilidad de explotación moderada. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad LFI la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas afectados.
WordPress websites utilizing the Post Grid, Slider & Carousel Ultimate plugin, particularly those with multiple contributors or users with elevated privileges (e.g., Editor, Administrator), are at risk. Shared hosting environments where plugin installations are managed centrally are also particularly vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'post_type_ajax_handler' /var/www/html/wp-content/plugins/post-grid-ultimate/• wordpress / composer / npm:
wp plugin list | grep 'Post Grid'• wordpress / composer / npm:
wp plugin active | grep 'Post Grid'• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/post-grid-ultimate/ | grep -i 'theme='disclosure
Estado del Exploit
EPSS
0.36% (58% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Post Grid, Slider & Carousel Ultimate – with Shortcode, Gutenberg Block & Elementor Widget a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al archivo vulnerable y revisar los permisos de los archivos del sitio web. Implementar un Web Application Firewall (WAF) con reglas para bloquear solicitudes que incluyan caracteres sospechosos en el parámetro 'theme' puede ayudar a mitigar el riesgo. Además, es crucial revisar los logs del servidor en busca de actividad sospechosa relacionada con la inclusión de archivos.
Actualice el plugin Post Grid, Slider & Carousel Ultimate a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) ha sido corregida en versiones posteriores a la 1.6.10. Esto evitará que atacantes autenticados con nivel de contribuidor o superior puedan ejecutar archivos arbitrarios en el servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13409 is a Local File Inclusion vulnerability in the Post Grid WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Post Grid plugin versions 1.6.10 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Post Grid plugin to a version greater than 1.6.10. Consider WAF rules as a temporary mitigation if upgrading is not immediately possible.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests it could be targeted soon.
Refer to the Post Grid plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.