Plataforma
wordpress
Componente
designthemes-core-features
Corregido en
4.7.1
El plugin DesignThemes Core Features para WordPress presenta una vulnerabilidad de acceso a archivos arbitrarios debido a la falta de una verificación de capacidad en la función dtprocessimported_file. Esta falla permite a atacantes no autenticados leer archivos sensibles del sistema operativo subyacente. La vulnerabilidad afecta a todas las versiones hasta la 4.7 inclusive, y requiere una acción inmediata para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para leer archivos confidenciales almacenados en el servidor, como archivos de configuración, contraseñas o datos de usuarios. El acceso a estos archivos podría revelar información sensible, comprometer la seguridad del sitio web y permitir el acceso no autorizado a la base de datos. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el potencial de daño, ya que cualquier usuario externo podría intentar acceder a los archivos. Esta vulnerabilidad es similar en impacto a otras fallas de acceso a archivos arbitrarios que han afectado a plugins de WordPress en el pasado, permitiendo a los atacantes obtener control sobre el servidor.
La vulnerabilidad fue publicada el 2025-03-05. No se ha reportado explotación activa en campañas conocidas, pero la falta de autenticación necesaria para la explotación la convierte en un objetivo atractivo para atacantes. No se ha añadido a la lista KEV de CISA al momento de la redacción. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
WordPress websites using the DesignThemes Core Features plugin, particularly those running versions 4.7 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable. Websites with sensitive data stored in easily accessible locations on the server are also at higher risk.
• wordpress / composer / npm:
grep -r 'dt_process_imported_file' /var/www/html/wp-content/plugins/design-themes-core-features/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/design-themes-core-features/dt_process_imported_file.php?file=../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep design-themes-core-featuresdisclosure
Estado del Exploit
EPSS
1.53% (81% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin DesignThemes Core Features a la última versión disponible, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso restrictivos en el servidor para limitar el acceso a archivos sensibles. Esto puede incluir la configuración de permisos de archivo adecuados y la implementación de reglas de firewall para bloquear el acceso no autorizado. Como medida temporal, se puede considerar deshabilitar la función dtprocessimportedfile hasta que se pueda aplicar la actualización. Después de la actualización, verifique que la función dtprocessimportedfile requiera la capacidad adecuada para acceder a los archivos.
Actualizar el plugin DesignThemes Core Features a una versión posterior a la 4.7. Si no hay una actualización disponible, considere deshabilitar el plugin hasta que se publique una versión corregida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13471 is a vulnerability in the DesignThemes Core Features WordPress plugin allowing unauthenticated attackers to read arbitrary files. It has a CVSS score of 7.5 (HIGH) and affects versions up to 4.7.
You are affected if your WordPress site uses the DesignThemes Core Features plugin version 4.7 or earlier. Check your plugin versions immediately.
Update the DesignThemes Core Features plugin to the latest available version. There are no known workarounds beyond updating the plugin.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the DesignThemes website or WordPress plugin repository for the latest advisory and update information regarding CVE-2024-13471.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.