Plataforma
wordpress
Componente
stockholm
Corregido en
9.6.1
La vulnerabilidad CVE-2024-34552 es una falla de Path Traversal descubierta en el tema Select-Themes Stockholm para WordPress. Esta falla permite a un atacante incluir archivos locales PHP, lo que podría resultar en la ejecución remota de código. Afecta a las versiones de Stockholm desde la versión desconocida hasta la 9.6. Se recomienda actualizar a la versión 9.6.1 para mitigar este riesgo.
Un atacante puede explotar esta vulnerabilidad para leer archivos sensibles en el servidor, incluyendo archivos de configuración, contraseñas y código fuente. La inclusión de archivos locales PHP permite la ejecución de código arbitrario en el contexto del proceso del servidor web, lo que podría resultar en el control completo del sitio web. Esta vulnerabilidad es similar a otras fallas de Path Traversal que han permitido el acceso no autorizado a datos confidenciales y la modificación de sistemas. El impacto potencial es alto, especialmente en entornos de producción donde se almacenan datos sensibles.
La vulnerabilidad CVE-2024-34552 fue publicada el 4 de junio de 2024. No se ha añadido a la lista KEV de CISA, ni se ha reportado explotación activa a la fecha. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
WordPress websites utilizing the Select-Themes Stockholm plugin, particularly those running versions 9.6 or earlier, are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with misconfigured file permissions that allow the web server user to access sensitive files are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/select-themes-stockholm/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/select-themes-stockholm/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep stockholmdisclosure
Estado del Exploit
EPSS
0.65% (71% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Select-Themes Stockholm a la versión 9.6.1 o superior. Si la actualización no es posible de inmediato, se pueden implementar medidas de mitigación temporales. Implementar reglas de Web Application Firewall (WAF) para bloquear solicitudes que contengan caracteres de Path Traversal (../). Revisar los permisos de los archivos y directorios para asegurar que solo el usuario web tenga acceso de lectura a los archivos necesarios. Monitorear los logs del servidor web en busca de patrones sospechosos, como solicitudes que intentan acceder a archivos fuera del directorio del tema. Si se sospecha de una intrusión, realizar una auditoría de seguridad completa del sitio web.
Actualice el tema Stockholm a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o reemplazar el tema con una alternativa segura. Esté atento a las actualizaciones de seguridad del proveedor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-34552 is a Path Traversal vulnerability in the Select-Themes Stockholm WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using Select-Themes Stockholm version 9.6 or earlier. Upgrade to 9.6.1 to resolve the issue.
Upgrade the Select-Themes Stockholm plugin to version 9.6.1 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's nature suggests it may be targeted soon. Prompt patching is recommended.
Refer to the Select-Themes website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.