Plataforma
wordpress
Componente
et-core-plugin
Corregido en
5.3.6
La vulnerabilidad CVE-2024-33551 es una inyección SQL detectada en el componente XStore Core de WordPress. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de la base de datos. La vulnerabilidad afecta a las versiones de XStore Core anteriores o iguales a 5.3.5, y se recomienda actualizar a la versión 5.3.6 para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de WordPress, permitiéndole leer, modificar o eliminar datos sensibles. Esto podría incluir información de usuarios, detalles de pedidos, datos de productos y otra información crítica para el negocio. La inyección SQL también podría ser utilizada para ejecutar comandos del sistema operativo subyacente, lo que podría llevar a la toma de control completa del servidor. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad de los datos.
La vulnerabilidad CVE-2024-33551 fue publicada el 29 de abril de 2024. No se ha reportado explotación activa a la fecha, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación sugieren que podría ser objeto de ataques en el futuro. Se recomienda monitorear los registros del servidor y las alertas de seguridad para detectar cualquier actividad sospechosa.
Websites using the XStore Core WordPress plugin, particularly those running older versions (≤5.3.5), are at significant risk. Shared hosting environments where multiple WordPress sites share the same database are especially vulnerable, as a compromise of one site could potentially impact others. Sites with weak database security configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/xstore-core/• generic web:
curl -I https://example.com/wp-content/plugins/xstore-core/ | grep SQLdisclosure
Estado del Exploit
EPSS
0.59% (69% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-33551 es actualizar XStore Core a la versión 5.3.6 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la restricción de acceso a la base de datos y la implementación de un firewall de aplicaciones web (WAF) para filtrar el tráfico malicioso. Además, se recomienda revisar y fortalecer las consultas SQL existentes para prevenir futuras vulnerabilidades de inyección SQL. Después de la actualización, verificar la integridad de la base de datos y los registros del servidor para detectar cualquier actividad sospechosa.
Actualice el plugin XStore Core a la última versión disponible. La vulnerabilidad de inyección SQL ha sido corregida en versiones posteriores a la 5.3.5. Si no puede actualizar inmediatamente, considere deshabilitar el plugin temporalmente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-33551 is a critical SQL Injection vulnerability affecting the XStore Core WordPress plugin, allowing attackers to inject malicious SQL code and potentially access sensitive data.
If you are using XStore Core version 5.3.5 or earlier, you are vulnerable. Immediately check your plugin version and upgrade if necessary.
Upgrade the XStore Core plugin to version 5.3.6 or later. If immediate upgrade is not possible, implement a WAF and sanitize user inputs.
While no confirmed active exploitation campaigns are currently known, the vulnerability's severity and ease of exploitation suggest it is a high-priority target and exploitation is likely.
Refer to the official XStore Core website and WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.