Plataforma
wordpress
Componente
folders
Corregido en
3.0.3
El plugin Folders Pro para WordPress presenta una vulnerabilidad de acceso arbitrario de archivos. Esta falla se debe a la falta de validación del tipo de archivo en la función 'handlefoldersfile_upload', permitiendo a atacantes autenticados con privilegios de autor o superiores subir archivos maliciosos al servidor. Las versiones afectadas son las iguales o anteriores a 3.0.2. Se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
La vulnerabilidad de acceso arbitrario de archivos en Folders Pro permite a un atacante autenticado, con acceso de autor o superior, subir archivos de cualquier tipo al servidor web. Esto podría resultar en la ejecución remota de código (RCE) si el atacante sube un archivo ejecutable malicioso, como un shell web. El impacto potencial incluye la toma de control completa del sitio web, robo de datos sensibles, y la modificación de contenido. La capacidad de subir archivos arbitrarios abre una puerta trasera para ataques persistentes y compromete la integridad y confidencialidad del sitio WordPress.
El CVE-2024-2024 fue publicado el 14 de junio de 2024. No se ha reportado explotación activa a la fecha. La vulnerabilidad se considera de alta probabilidad de ser explotada debido a su relativa simplicidad y el amplio uso del plugin Folders Pro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
WordPress websites utilizing the Folders Pro plugin, particularly those with users having author or higher roles, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially impact others. Legacy WordPress installations running outdated versions of Folders Pro are also at increased risk.
• wordpress / composer / npm:
grep -r "handle_folders_file_upload" /var/www/html/wp-content/plugins/folders-pro/• wordpress / composer / npm:
wp plugin list --status=all | grep 'Folders Pro'• wordpress / composer / npm:
wp plugin update folders-pro --all• generic web: Check WordPress plugin directory for Folders Pro updates and security advisories.
disclosure
Estado del Exploit
EPSS
17.12% (95% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Folders Pro a la última versión disponible, que corrige la vulnerabilidad de validación de tipo de archivo. Si la actualización no es inmediatamente posible, se recomienda restringir los permisos de usuario para evitar que usuarios con privilegios de autor o superiores puedan subir archivos. Implementar reglas en un Web Application Firewall (WAF) para bloquear la subida de archivos con extensiones peligrosas (ej., .php, .exe) también puede ayudar. Monitorear los logs del servidor en busca de intentos de subida de archivos sospechosos es crucial.
Actualice el plugin Folders Pro a la última versión disponible. La vulnerabilidad permite la subida de archivos arbitrarios, lo que podría llevar a la ejecución remota de código. La actualización corrige la falta de validación de tipos de archivo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-2024 is a HIGH severity vulnerability in Folders Pro WordPress plugin versions ≤3.0.2, allowing authenticated attackers to upload arbitrary files, potentially leading to remote code execution.
If you are using Folders Pro version 3.0.2 or earlier, you are vulnerable. Check your plugin version using wp plugin list and upgrade immediately.
Upgrade Folders Pro to the latest available version. If immediate upgrade is not possible, restrict file upload permissions and implement a WAF rule to block malicious file extensions.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's potential for RCE makes it a high-priority risk.
Refer to the Folders Pro plugin website and WordPress.org plugin page for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.