Plataforma
wordpress
Componente
et-core-plugin
Corregido en
5.3.9
La vulnerabilidad CVE-2024-33557 es una falla de Path Traversal descubierta en XStore Core, un plugin para WordPress. Esta falla permite a un atacante incluir archivos locales PHP, lo que podría resultar en la ejecución de código arbitrario en el servidor. Afecta a las versiones de XStore Core desde la versión desconocida hasta la 5.3.8. Se ha lanzado una actualización a la versión 5.3.9 para solucionar esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad puede incluir archivos arbitrarios desde el sistema de archivos del servidor. Esto podría permitir el acceso a información confidencial, como contraseñas, claves de API o datos de la base de datos. En el peor de los casos, un atacante podría ejecutar código malicioso en el servidor, comprometiendo completamente el sitio web. La inclusión de archivos locales PHP abre una puerta a la ejecución remota de código, lo que podría llevar a la toma de control del servidor. La severidad de esta vulnerabilidad se debe a su potencial para causar un daño significativo a la confidencialidad, integridad y disponibilidad del sistema.
Esta vulnerabilidad ha sido publicada públicamente el 4 de junio de 2024. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la disponibilidad de una falla de Path Traversal con potencial de ejecución de código la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear los sistemas afectados en busca de actividad sospechosa. La vulnerabilidad no aparece en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción.
Websites using the XStore Core WordPress plugin, particularly those running older versions (≤5.3.8), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the patch. Sites with lax file upload permissions are especially susceptible.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xstore-core/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/xstore-core/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
1.66% (82% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar XStore Core a la versión 5.3.9 o superior. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación temporales. Estas medidas incluyen restringir el acceso al archivo vulnerable a través de un firewall de aplicaciones web (WAF) o un proxy inverso. También se puede considerar la implementación de reglas de seguridad en el servidor para limitar la ejecución de archivos PHP desde ubicaciones no autorizadas. Verifique los permisos de los archivos y directorios para asegurar que solo el usuario web tenga acceso de lectura a los archivos necesarios. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el intento de inclusión de archivos locales sea bloqueado.
Actualice el plugin XStore Core a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 5.3.8. Para actualizar, vaya al panel de administración de WordPress, luego a la sección de plugins y busque XStore Core. Si hay una actualización disponible, instálela inmediatamente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-33557 is a Path Traversal vulnerability affecting the XStore Core WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using XStore Core version 5.3.8 or earlier, you are vulnerable to this Path Traversal flaw.
Upgrade the XStore Core plugin to version 5.3.9 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a potential for rapid exploitation. Monitor your WordPress site closely.
Refer to the official XStore Core website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.