Plataforma
wordpress
Componente
postmash
Corregido en
1.2.1
Se ha identificado una vulnerabilidad de inyección SQL en el plugin postMash – custom post order. Esta falla permite a un atacante inyectar código SQL malicioso, potencialmente comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad afecta a versiones del plugin hasta la 1.2.0, y se ha lanzado una actualización a la versión 1.2.1 para corregirla.
La inyección SQL en postMash – custom post order permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Esto podría resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos de clientes, o incluso la modificación o eliminación de datos. Un atacante podría utilizar esta vulnerabilidad para obtener control total sobre el sitio web, incluyendo la posibilidad de ejecutar código PHP en el servidor. La severidad crítica de la vulnerabilidad (CVSS 9.3) indica un alto riesgo de explotación y un impacto significativo en la seguridad del sitio web.
Esta vulnerabilidad ha sido publicada públicamente el 28 de febrero de 2024. Actualmente no se dispone de información sobre campañas de explotación activas, pero la alta puntuación CVSS sugiere que podría ser objeto de escaneo y explotación por parte de actores maliciosos. Se recomienda monitorear los registros del servidor y la base de datos en busca de actividad sospechosa.
WordPress websites utilizing the postMash – custom post order plugin, particularly those running versions prior to 1.2.1, are at risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "postMash" /var/www/html/wp-content/plugins/
wp plugin list | grep postMash• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=postmash-custom-post-order• database (mysql):
SELECT VERSION(); --'• wordpress / composer / npm:
wp plugin auto-update postmash-custom-post-orderdisclosure
Estado del Exploit
EPSS
0.22% (45% percentil)
Vector CVSS
La mitigación principal para CVE-2024-25927 es actualizar el plugin postMash – custom post order a la versión 1.2.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se recomienda implementar reglas de firewall de aplicaciones web (WAF) que bloqueen consultas SQL sospechosas dirigidas al plugin. Además, revise y fortalezca las medidas de seguridad de la base de datos, como el uso de contraseñas seguras y la limitación de los privilegios de acceso.
Actualiza el plugin postMash – custom post order a una versión posterior a la 1.2.0. Esto solucionará la vulnerabilidad de inyección SQL. Si no hay una versión disponible, considera deshabilitar el plugin hasta que se publique una actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-25927 is a critical SQL Injection vulnerability affecting the postMash – custom post order WordPress plugin, allowing attackers to inject malicious SQL code.
You are affected if you are using postMash – custom post order version 1.2.0 or earlier. Upgrade to 1.2.1 to mitigate the risk.
Upgrade the postMash – custom post order plugin to version 1.2.1 or later. Consider a WAF as a temporary workaround if immediate upgrade is not possible.
While there are no confirmed active exploits currently, the ease of exploitation makes it a likely target for attackers.
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.