Plataforma
wordpress
Componente
mp-timetable
Corregido en
2.4.12
La vulnerabilidad CVE-2024-3342 es una inyección SQL presente en el plugin Timetable and Event Schedule de MotoPress para WordPress. Esta falla permite a atacantes autenticados, con privilegios de colaborador o superiores, inyectar consultas SQL adicionales en las existentes, comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad afecta a todas las versiones del plugin hasta la 2.4.11 inclusive. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de WordPress. Esto podría resultar en la extracción de información sensible como nombres de usuario, contraseñas, datos de clientes, información de eventos y otros datos críticos. La inyección SQL permite la manipulación de consultas, lo que podría llevar a la modificación o eliminación de datos, así como a la ejecución de comandos arbitrarios en el servidor. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad de los datos.
La vulnerabilidad CVE-2024-3342 fue publicada el 27 de abril de 2024. Actualmente no se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS indica un riesgo significativo. Se recomienda a los administradores de WordPress que apliquen las mitigaciones necesarias lo antes posible para evitar posibles ataques. No se ha añadido a KEV a la fecha.
WordPress websites utilizing the Timetable and Event Schedule plugin, particularly those with contributor-level users or higher, are at risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as an attacker compromising one site could potentially leverage this vulnerability to access data from other sites on the same server.
• wordpress / composer / npm:
grep -r "mp-timetable events='.*?'" /var/www/html/wp-content/plugins/timetable/shortcodes/• wordpress / composer / npm:
wp plugin list --status=active | grep timetable• wordpress / composer / npm:
wp plugin update timetable• generic web: Inspect WordPress plugin files for unsanitized user input in the 'mp-timetable' shortcode.
Disclosure
Estado del Exploit
EPSS
0.31% (54% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Timetable and Event Schedule a la última versión disponible, que corrige la vulnerabilidad de inyección SQL. Si la actualización no es posible de inmediato, se recomienda limitar el acceso a la base de datos y aplicar reglas de firewall para bloquear tráfico malicioso. Además, se debe revisar y fortalecer la autenticación de los usuarios, asegurando que solo los usuarios autorizados tengan acceso a la base de datos. Implementar un Web Application Firewall (WAF) puede ayudar a detectar y bloquear intentos de inyección SQL. Se recomienda monitorear los logs de WordPress en busca de patrones sospechosos.
Actualice el plugin Timetable and Event Schedule de MotoPress a la última versión disponible. La versión 2.4.12 o superior corrige esta vulnerabilidad de inyección SQL (SQL Injection).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-3342 is a critical SQL Injection vulnerability affecting the MotoPress Timetable and Event Schedule plugin for WordPress, allowing attackers to extract data.
You are affected if you are using the plugin version 2.4.11 or earlier. Check your plugin version and upgrade immediately.
Upgrade the plugin to the latest version available from the MotoPress website or WordPress plugin repository.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high risk of exploitation.
Refer to the MotoPress website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.