Plataforma
wordpress
Componente
infusionsoft-official-opt-in-forms
Corregido en
2.0.2
La vulnerabilidad CVE-2024-13725 afecta al plugin Keap Official Opt-in Forms para WordPress, permitiendo una inclusión de archivos locales (LFI). Esta falla permite a atacantes no autenticados incluir archivos PHP en el servidor, lo que podría resultar en la ejecución de código malicioso. La vulnerabilidad se encuentra presente en todas las versiones hasta la 2.0.1, y su explotación podría llevar a la obtención de información sensible o incluso a la ejecución remota de código bajo ciertas condiciones. Se recomienda actualizar el plugin a la última versión disponible.
La inclusión de archivos locales en Keap Official Opt-in Forms representa un riesgo significativo para la seguridad de los sitios WordPress. Un atacante podría aprovechar esta vulnerabilidad para incluir archivos PHP arbitrarios en el servidor, lo que le permitiría ejecutar código malicioso con los permisos del usuario web. Esto podría resultar en la modificación de archivos del sitio, la inyección de código malicioso, el robo de información confidencial (como credenciales de bases de datos) o incluso el control total del servidor. En escenarios donde registerargcargv esté habilitado y pearcmd.php esté instalado, la vulnerabilidad podría escalar a una ejecución remota de código (RCE), ampliando significativamente el impacto potencial. La capacidad de ejecutar código arbitrario en el servidor convierte esta vulnerabilidad en un vector de ataque altamente peligroso.
CVE-2024-13725 ha sido publicado el 18 de febrero de 2025. Actualmente no se conoce si esta vulnerabilidad está siendo activamente explotada en la naturaleza, pero la alta puntuación CVSS (9.8) indica un alto riesgo. La posibilidad de ejecución remota de código bajo ciertas condiciones aumenta la probabilidad de explotación. Se recomienda monitorear activamente los sistemas afectados y aplicar las mitigaciones necesarias lo antes posible.
WordPress websites using the Keap Official Opt-in Forms plugin, particularly those running versions 2.0.1 or earlier, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and are more susceptible to cross-site contamination. Websites with weak file upload security configurations are also at increased risk.
• wordpress / composer / npm:
grep -r 'service=../../../../' /var/www/html/wp-content/plugins/keap-official-opt-in-forms/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/keap-official-opt-in-forms/service?service=../../../../etc/passwd | grep 'Content-Type:'disclosure
Estado del Exploit
EPSS
0.43% (63% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13725 es actualizar el plugin Keap Official Opt-in Forms a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restringir el acceso al directorio del plugin y deshabilitar la ejecución de PHP en directorios no esperados puede ayudar a mitigar el riesgo. Además, se recomienda revisar los permisos de los archivos y directorios del plugin para asegurar que solo el usuario web tenga acceso de escritura. Si se sospecha de una intrusión, se debe realizar una auditoría completa del sitio web para identificar y eliminar cualquier código malicioso. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor en busca de intentos de inclusión de archivos.
Actualice el plugin Keap Official Opt-in Forms a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. Esto solucionará el problema de inclusión de archivos locales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13725 es una vulnerabilidad crítica en Keap Official Opt-in Forms que permite la inclusión de archivos locales, lo que podría llevar a la ejecución de código PHP.
Si está utilizando Keap Official Opt-in Forms en una versión anterior a 2.0.1, es vulnerable a esta vulnerabilidad.
Actualice el plugin Keap Official Opt-in Forms a la última versión disponible. Si no es posible, aplique las mitigaciones recomendadas, como restringir el acceso al directorio del plugin.
Aunque no se ha confirmado la explotación activa, la alta puntuación CVSS indica un alto riesgo y se recomienda monitorear los sistemas afectados.
Consulte el sitio web oficial de Keap o los canales de comunicación de seguridad de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.