Plataforma
wordpress
Componente
mediavine-create
Corregido en
1.9.5
La vulnerabilidad CVE-2024-1711 es una inyección SQL presente en el plugin Create by Mediavine para WordPress. Esta falla permite a atacantes no autenticados inyectar consultas SQL adicionales en las consultas existentes, comprometiendo la integridad y confidencialidad de los datos. El problema afecta a versiones del plugin iguales o inferiores a 1.9.4. Se recomienda actualizar a la versión 1.9.5 o superior para solucionar esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para inyectar código SQL malicioso a través del parámetro 'id'. Esto podría permitirles acceder a información confidencial almacenada en la base de datos, como nombres de usuario, contraseñas, datos de clientes o información de configuración. La inyección SQL puede llevar a la manipulación de datos, la suplantación de identidad y, en casos extremos, el control total del sitio web WordPress. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el riesgo, ya que cualquier persona puede intentar la explotación.
La vulnerabilidad fue publicada el 20 de marzo de 2024. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Se recomienda monitorear activamente los sistemas afectados y aplicar la mitigación lo antes posible. No se ha añadido a la lista KEV de CISA hasta la fecha.
Websites utilizing the Create by Mediavine plugin, particularly those running older versions (≤1.9.4), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and security configurations. Sites with weak database user permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "SELECT * FROM wp_options" /var/www/html/wp-content/plugins/create-by-mediavine/• wordpress / composer / npm:
wp plugin list --status=inactive | grep create-by-mediavine• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/?id='; DROP TABLE wp_users;-- | grep "HTTP/1.1 500"disclosure
Estado del Exploit
EPSS
0.85% (75% percentil)
Vector CVSS
La mitigación principal para CVE-2024-1711 es actualizar el plugin Create by Mediavine a la versión 1.9.5 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes con patrones de inyección SQL en el parámetro 'id'. Además, revise los registros del servidor en busca de intentos de inyección SQL y refuerce las medidas de seguridad de la base de datos, como el uso de contraseñas seguras y la limitación de los privilegios de acceso. Después de la actualización, confirme la mitigación revisando los registros del plugin y realizando pruebas de penetración básicas.
Actualice el plugin Create by Mediavine a la versión más reciente disponible. La versión 1.9.5 o superior corrige la vulnerabilidad de inyección SQL. Puede actualizar a través del panel de administración de WordPress o descargando la última versión desde el repositorio oficial.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-1711 is a critical SQL Injection vulnerability in the Create by Mediavine WordPress plugin, allowing attackers to potentially extract sensitive database information.
You are affected if you are using Create by Mediavine plugin versions less than or equal to 1.9.4. Immediate action is required.
Upgrade the Create by Mediavine plugin to the latest available version that includes the security fix. If immediate upgrade is not possible, temporarily disable the plugin.
No active exploitation campaigns have been confirmed as of this writing, but public proof-of-concept exploits are likely to emerge.
Refer to the Mediavine website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.