Plataforma
wordpress
Componente
breakdance
Corregido en
1.7.3
La vulnerabilidad CVE-2024-31390 es una falla de Ejecución Remota de Código (RCE) en el plugin Breakdance para WordPress. Esta falla permite la inyección de código, lo que podría resultar en el control completo del sitio web. Afecta a las versiones del plugin Breakdance anteriores o iguales a 1.7.2, y se ha solucionado en la versión 1.7.3.
Un atacante podría explotar esta vulnerabilidad para inyectar código malicioso en el sitio web WordPress. Esto podría permitir la ejecución de comandos arbitrarios en el servidor, lo que podría resultar en la toma de control completa del sitio web, robo de datos sensibles, o la instalación de malware. La inyección de código podría realizarse a través de la manipulación de parámetros de entrada o la subida de archivos maliciosos. La severidad crítica de esta vulnerabilidad la coloca en una categoría de riesgo alto, similar a otras vulnerabilidades de RCE que han afectado a plugins populares de WordPress.
Esta vulnerabilidad fue publicada el 3 de abril de 2024. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE) sugiere un alto potencial de explotación. Se recomienda monitorear activamente los sistemas afectados.
WordPress websites utilizing the Breakdance plugin, particularly those running older versions (≤1.7.2), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and security configurations. Sites that rely on Breakdance for handling user-uploaded video content are also at higher risk due to the potential for malicious file uploads.
• wordpress / composer / npm:
wp plugin list | grep breakdance• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status breakdance• generic web: Check WordPress plugin directory for updated version (1.7.3+).
disclosure
kev
Estado del Exploit
EPSS
0.11% (29% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Breakdance a la versión 1.7.3 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para bloquear intentos de inyección de código. Además, se deben revisar los archivos del plugin en busca de código malicioso y deshabilitar cualquier función o característica que no sea esencial. Implementar una política de seguridad de contenido (CSP) también puede ayudar a mitigar el riesgo. Después de la actualización, verificar la integridad del plugin y la ausencia de código sospechoso.
Actualice el plugin Breakdance a la última versión disponible. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte la documentación del plugin para obtener instrucciones específicas sobre cómo actualizarlo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-31390 is a critical Remote Code Execution vulnerability in the Soflyy Breakdance WordPress plugin, allowing attackers to execute arbitrary code on the server.
You are affected if you are using Breakdance version 1.7.2 or earlier. Check your plugin versions immediately.
Upgrade the Breakdance plugin to version 1.7.3 or later. If upgrading is not possible, temporarily disable the plugin.
While no confirmed active exploitation campaigns have been reported, the vulnerability's severity and ease of exploitation make it a high-priority target.
Refer to the Soflyy website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.