Plataforma
wordpress
Componente
dx-watermark
Corregido en
1.0.5
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin DX-Watermark para WordPress. Esta falla permite a un atacante, aprovechando el engaño del usuario, ejecutar acciones no autorizadas en el sitio web. La vulnerabilidad afecta a las versiones de DX-Watermark desde la versión desconocida hasta la 1.0.4, siendo corregida en la versión 1.0.5.
La vulnerabilidad CSRF en DX-Watermark permite a un atacante, mediante la creación de solicitudes maliciosas, realizar cambios en la configuración del plugin o incluso ejecutar acciones en nombre del usuario autenticado. Esto podría resultar en la modificación de marcas de agua, la alteración de la configuración del sitio web, o incluso el acceso no autorizado a información sensible. Un atacante podría, por ejemplo, modificar la configuración de las marcas de agua para insertar contenido malicioso o redirigir a los usuarios a sitios web fraudulentos. La falta de protección adecuada contra CSRF amplía significativamente la superficie de ataque del sitio WordPress.
Esta vulnerabilidad ha sido publicada públicamente el 25 de abril de 2024. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de un exploit público podría aumentar el riesgo de explotación en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles actividades maliciosas.
Websites using the DX-Watermark plugin, particularly those with administrative users who frequently interact with the plugin's settings, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'dx_watermark_options' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/dx-watermark/ | grep Serverdisclosure
Estado del Exploit
EPSS
0.11% (30% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin DX-Watermark a la versión 1.0.5 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas del usuario y la implementación de tokens CSRF en todas las solicitudes críticas. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Verifique que la configuración del plugin no permita la ejecución de código arbitrario.
Actualice el plugin DX-Watermark a la última versión disponible. La actualización corrige la vulnerabilidad CSRF y XSS, previniendo la subida de archivos arbitrarios y la ejecución de scripts maliciosos. Puede actualizar directamente desde el panel de administración de WordPress.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-30560 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the DX-Watermark WordPress plugin, allowing attackers to potentially execute malicious scripts.
You are affected if you are using DX-Watermark version 1.0.4 or earlier. Upgrade to 1.0.5 to mitigate the risk.
Upgrade the DX-Watermark plugin to version 1.0.5 or later. Consider a WAF as a temporary workaround if upgrading is not immediately possible.
There is currently no confirmed active exploitation, but the CRITICAL severity makes it a high-priority target.
Refer to the DX-Watermark plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.