Plataforma
wordpress
Componente
epoll-wp-voting
Corregido en
3.1.1
Se ha identificado una vulnerabilidad de acceso de archivo arbitrario (Path Traversal) en el plugin WP Poll Maker, afectando a versiones hasta la 3.1. Esta falla permite a un atacante, bajo ciertas condiciones, acceder a archivos fuera del directorio previsto, comprometiendo potencialmente la confidencialidad de datos sensibles. La vulnerabilidad fue publicada el 10 de abril de 2024 y se ha solucionado en la versión 3.1.1.
La vulnerabilidad de Path Traversal en WP Poll Maker permite a un atacante leer archivos arbitrarios en el servidor web. Esto podría incluir archivos de configuración, contraseñas, código fuente u otros datos confidenciales. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a información sensible, comprometer la integridad del sitio web o incluso ejecutar código malicioso en el servidor. La severidad del impacto depende de los permisos del usuario web y de los archivos accesibles a través de la vulnerabilidad. La exposición de información sensible podría resultar en robo de datos, daño a la reputación y sanciones regulatorias.
La vulnerabilidad CVE-2024-31240 fue publicada el 10 de abril de 2024. Actualmente no se han reportado casos de explotación activa, pero la naturaleza de la vulnerabilidad de Path Traversal la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas afectados y aplicar las mitigaciones necesarias lo antes posible. No se ha añadido a KEV a la fecha.
WordPress websites utilizing the WP Poll Maker plugin, particularly those running versions 3.1 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable. Sites with sensitive data stored in accessible locations on the server face the highest risk.
• wordpress / composer / npm:
wp plugin list | grep Poll Maker• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-poll-maker/*• generic web: Check WordPress plugin directory for unauthorized modifications or unexpected files.
disclosure
Estado del Exploit
EPSS
0.31% (54% percentil)
Vector CVSS
La mitigación principal para CVE-2024-31240 es actualizar WP Poll Maker a la versión 3.1.1 o superior. Si la actualización no es inmediatamente posible, considere implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio previsto. Revise los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso a los archivos sensibles. Monitoree los logs del servidor web en busca de patrones de acceso inusuales que puedan indicar un intento de explotación.
Actualice el plugin WP Poll Maker a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-31240 is a HIGH severity vulnerability in WP Poll Maker allowing attackers to read files outside of intended directories. It affects versions up to 3.1.
Yes, if you are using WP Poll Maker version 3.1 or earlier, you are vulnerable to this Arbitrary File Access issue.
Upgrade WP Poll Maker to version 3.1.1 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the InfoTheme website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.