Plataforma
wordpress
Componente
xstore
Corregido en
9.3.9
La vulnerabilidad CVE-2024-33560 es una falla de Path Traversal descubierta en el plugin XStore para WordPress. Esta falla permite a un atacante incluir archivos locales PHP, lo que podría resultar en la ejecución remota de código. Afecta a las versiones del plugin XStore anteriores o iguales a la 9.3.8. Se recomienda actualizar a la versión 9.3.9 para mitigar el riesgo.
Un atacante podría explotar esta vulnerabilidad para leer archivos sensibles en el servidor, incluyendo archivos de configuración, código fuente y credenciales de bases de datos. La inclusión de archivos locales PHP permite la ejecución de código malicioso en el contexto del servidor web, lo que podría llevar al control total del sitio web WordPress. Esto es similar a otras vulnerabilidades de Path Traversal que han permitido a los atacantes comprometer sistemas completos. La ejecución de código arbitrario en el servidor representa un riesgo significativo para la confidencialidad, integridad y disponibilidad de los datos.
La vulnerabilidad fue publicada el 4 de junio de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo. Es probable que se desarrollen y publiquen pruebas de concepto (PoC) en un futuro cercano. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Websites utilizing the XStore WordPress plugin, particularly those running older versions (≤9.3.8), are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the update. Sites with less stringent file access controls are more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xstore/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/xstore/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep xstore• wordpress / composer / npm:
wp plugin update xstore --alldisclosure
Estado del Exploit
EPSS
1.66% (82% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin XStore a la versión 9.3.9 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al directorio del plugin a través de reglas de firewall o configuración del servidor web. Implementar una validación estricta de las entradas del usuario puede ayudar a prevenir la inyección de rutas maliciosas. Monitorear los logs del servidor en busca de intentos de acceso a archivos no autorizados es crucial. Después de la actualización, confirmar la mitigación revisando los logs del servidor y realizando pruebas de penetración básicas.
Actualice el tema XStore a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o reemplazar el tema hasta que se publique una actualización que solucione la vulnerabilidad. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-33560 is a critical Path Traversal vulnerability in the XStore WordPress plugin, allowing attackers to potentially include arbitrary PHP files.
You are affected if you are using XStore versions 9.3.8 or earlier. Upgrade to 9.3.9 to resolve the vulnerability.
Upgrade the XStore plugin to version 9.3.9 or later. If upgrading is not immediately possible, implement WAF rules and restrict file access permissions.
While no widespread exploitation has been confirmed, the vulnerability's nature suggests a medium probability of exploitation. Monitor your systems closely.
Refer to the official XStore website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.