Plataforma
wordpress
Componente
easy-social-share-buttons3
Corregido en
9.4.1
La vulnerabilidad CVE-2024-31300 es una falla de Path Traversal descubierta en el plugin Easy Social Share Buttons para WordPress. Esta falla permite a un atacante incluir archivos locales PHP, lo que podría resultar en la ejecución remota de código. La vulnerabilidad afecta a las versiones del plugin desde la versión desconocida hasta la 9.4. Se ha lanzado una actualización a la versión 9.4.1 que corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para leer archivos sensibles en el servidor, incluyendo archivos de configuración, contraseñas y código fuente. La inclusión de archivos locales PHP permite la ejecución de código malicioso en el contexto del servidor web, lo que podría llevar al control completo del sitio WordPress. Esta vulnerabilidad es similar a otras fallas de Path Traversal que han permitido el acceso no autorizado a información confidencial y la modificación de sistemas. La severidad del impacto es alta debido a la posibilidad de ejecución remota de código.
La vulnerabilidad fue publicada el 17 de mayo de 2024. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la redacción. Sin embargo, dada la naturaleza de la vulnerabilidad de Path Traversal, es probable que se desarrollen exploits en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
WordPress websites utilizing the Easy Social Share Buttons plugin, particularly those running versions 9.4 or earlier, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin configurations and security settings. Sites with weak file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/easy-social-share-buttons/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/easy-social-share-buttons/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
1.34% (80% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Easy Social Share Buttons a la versión 9.4.1 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al directorio del plugin a través de un firewall de aplicaciones web (WAF) o configuraciones del servidor. Además, se debe revisar la configuración del servidor web para asegurar que la inclusión de archivos PHP desde ubicaciones no autorizadas esté deshabilitada. Después de la actualización, verificar la integridad del plugin comparando los hashes de los archivos con los proporcionados en el advisory oficial.
Actualice el plugin Easy Social Share Buttons a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad y protege su sitio web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-31300 is a Path Traversal vulnerability in the Easy Social Share Buttons plugin for WordPress, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Easy Social Share Buttons version 9.4 or earlier, you are affected by this vulnerability.
Upgrade the Easy Social Share Buttons plugin to version 9.4.1 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation campaigns have been confirmed, the availability of a public proof-of-concept suggests an increased risk of exploitation.
Refer to the appscreo website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.