Plataforma
wordpress
Componente
tagdiv-composer
Corregido en
5.3.1
La vulnerabilidad CVE-2024-13645 afecta al plugin TagDiv Composer para WordPress, permitiendo la instanciación de objetos PHP. Esta falla de seguridad, si se explota con éxito, podría permitir a atacantes no autenticados ejecutar código malicioso en el servidor. La vulnerabilidad se encuentra presente en todas las versiones hasta la 5.3. La solución recomendada es actualizar a una versión corregida del plugin.
El impacto principal de CVE-2024-13645 radica en la posibilidad de ejecución remota de código, aunque esta depende de la existencia de una cadena de objetos PHP (POP chain) en otros plugins o temas instalados en el sitio web. Si un atacante logra explotar esta vulnerabilidad en combinación con una POP chain, podría obtener control sobre el servidor, permitiéndole realizar acciones como la eliminación de archivos, la modificación de la base de datos, el robo de información sensible (credenciales, datos de usuarios) y la instalación de puertas traseras para acceso futuro. La ausencia de una POP chain en el software vulnerable limita el impacto directo, pero la posibilidad de su combinación con otros componentes representa un riesgo significativo.
CVE-2024-13645 fue publicado el 4 de abril de 2025. No se han reportado campañas de explotación activas a la fecha. La vulnerabilidad no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. La probabilidad de explotación se considera baja a moderada, dependiendo de la prevalencia de plugins/temas con POP chains en sitios web que utilizan TagDiv Composer.
WordPress websites using TagDiv Composer versions 5.3 and earlier are at risk. This includes sites with multiple plugins and themes installed, as the vulnerability's impact is significantly increased by the presence of a POP chain in other components. Shared hosting environments are particularly vulnerable, as they often have limited control over the plugins and themes installed on the server.
• wordpress / composer / npm:
grep -r 'tagDivComposer' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep tagDivComposer• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/tagdiv-composer/module.php?class=evilclass• wordpress / composer / npm:
wp plugin auto-update tagdiv-composerdisclosure
Estado del Exploit
EPSS
2.23% (84% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13645 es actualizar TagDiv Composer a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se recomienda revisar los permisos de los archivos y directorios del plugin para restringir el acceso no autorizado. Monitorear los logs del servidor en busca de intentos de instanciación de objetos PHP sospechosos también puede ayudar a detectar posibles ataques. Después de la actualización, confirme la corrección revisando los logs del plugin y realizando pruebas de seguridad básicas.
Actualice el plugin TagDiv Composer a una versión posterior a la 5.3. Esto solucionará la vulnerabilidad de instanciación de objetos PHP no autenticada. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una versión corregida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13645 is a critical vulnerability in TagDiv Composer versions up to 5.3 that allows unauthenticated attackers to instantiate PHP objects, potentially leading to code execution if combined with other vulnerabilities.
Yes, if you are using TagDiv Composer version 5.3 or earlier, you are affected by this vulnerability. Upgrade to a patched version as soon as possible.
Upgrade TagDiv Composer to the latest available version. If immediate upgrading is not possible, implement a WAF rule to block malicious requests.
Active exploitation is not currently confirmed, but the vulnerability's potential impact is high, and exploitation is likely if a POP chain exists on the target system.
Please refer to the TagDiv website and WordPress plugin repository for the latest security advisory and patched version.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.