Plataforma
wordpress
Componente
bootstrap-ultimate
Corregido en
1.4.10
La vulnerabilidad CVE-2024-13545 afecta al tema Bootstrap Ultimate para WordPress, permitiendo la inclusión de archivos locales. Esta falla permite a atacantes no autenticados incluir archivos PHP en el servidor, lo que podría resultar en la ejecución de código malicioso. Las versiones afectadas son todas las inferiores o iguales a la 1.4.9. Se recomienda actualizar a una versión corregida para mitigar este riesgo.
La inclusión de archivos locales en Bootstrap Ultimate representa un riesgo significativo para los sitios web de WordPress que utilizan este tema. Un atacante puede explotar esta vulnerabilidad para incluir archivos PHP arbitrarios en el servidor, lo que les permite ejecutar código malicioso. Esto puede llevar a la fuga de información sensible, la modificación de archivos del sitio web, o incluso la toma del control completo del servidor. En escenarios donde php://filter esté habilitado, la vulnerabilidad puede escalar a una ejecución remota de código (RCE), ampliando considerablemente el impacto. La capacidad de subir archivos PHP y luego incluirlos es un vector de ataque común en este tipo de vulnerabilidades.
Actualmente, no se ha confirmado la explotación activa de CVE-2024-13545 en entornos reales. La vulnerabilidad ha sido publicada el 24 de enero de 2025. Es posible que se encuentre en listas de vulnerabilidades conocidas (KEV) en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. La existencia de una vulnerabilidad de inclusión de archivos con potencial de RCE la convierte en un objetivo atractivo para atacantes.
WordPress websites using the Bootstrap Ultimate theme, particularly those running versions prior to the patch release, are at significant risk. Shared hosting environments are especially vulnerable as they often lack granular access controls, making it easier for attackers to exploit the vulnerability. Websites with legacy configurations or those that haven't implemented robust security practices are also at higher risk.
• wordpress / composer / npm:
grep -r "path=". /var/www/html/wp-content/themes/bootstrap-ultimate/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/themes/bootstrap-ultimate/?path=../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'bootstrap-ultimate'• generic web:
Check access logs for requests containing suspicious path parameters like ../ or ../../ targeting the /wp-content/themes/bootstrap-ultimate/ directory.
• wordpress / composer / npm:
Use a WordPress security plugin to scan for LFI vulnerabilities and potential malicious file inclusions.
disclosure
Estado del Exploit
EPSS
1.85% (83% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13545 es actualizar Bootstrap Ultimate a una versión corregida que solucione la vulnerabilidad de inclusión de archivos. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al directorio del tema y revisar los permisos de los archivos para evitar la inclusión de archivos no autorizados. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en el parámetro 'path' puede ayudar a prevenir ataques. Además, deshabilitar la función php://filter en el servidor puede mitigar el riesgo de RCE. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor en busca de intentos de inclusión de archivos.
Actualice el tema Bootstrap Ultimate a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. Consulte la documentación del tema para obtener instrucciones sobre cómo realizar la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13545 es una vulnerabilidad de Inclusión de Archivos Local (LFI) en el tema Bootstrap Ultimate para WordPress que permite a atacantes no autenticados ejecutar código PHP.
Sí, si está utilizando Bootstrap Ultimate en una versión inferior o igual a 1.4.9, es vulnerable a esta vulnerabilidad.
Actualice Bootstrap Ultimate a la última versión disponible para solucionar la vulnerabilidad. Mientras tanto, aplique medidas de mitigación como restringir el acceso al directorio del tema.
Actualmente no se ha confirmado la explotación activa, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Consulte el sitio web oficial de Bootstrap Ultimate o los canales de comunicación del desarrollador para obtener la información más reciente sobre la vulnerabilidad y las actualizaciones.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.