Plataforma
wordpress
Componente
advanced-custom-fields-pro
Corregido en
6.2.11
Se ha identificado una vulnerabilidad de Path Traversal en el plugin Advanced Custom Fields PRO, permitiendo la inclusión de archivos locales PHP. Esta falla, descubierta durante una auditoría de seguridad planificada, permite a un atacante acceder potencialmente a archivos sensibles en el servidor. La vulnerabilidad afecta a versiones de Advanced Custom Fields PRO anteriores a 6.2.10. La solución es actualizar a la versión 6.2.10 o superior.
La vulnerabilidad de Path Traversal permite a un atacante, mediante la manipulación de la ruta de un archivo, acceder a archivos arbitrarios en el sistema de archivos del servidor web. En el contexto de WordPress, esto podría significar el acceso a archivos de configuración, contraseñas, código fuente de otros plugins o incluso archivos del núcleo de WordPress. Un atacante podría, por ejemplo, incluir el archivo wp-config.php, obteniendo acceso a la base de datos. La inclusión de archivos locales PHP también podría permitir la ejecución de código malicioso en el servidor, comprometiendo completamente el sitio web. Esta vulnerabilidad es particularmente grave debido a su alta puntuación CVSS y la posibilidad de acceso no autorizado a información confidencial.
La vulnerabilidad fue descubierta y divulgada públicamente el 10 de junio de 2024. Actualmente no se dispone de información sobre campañas de explotación activas, pero la alta puntuación CVSS (9.9) indica un alto riesgo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa. No se ha añadido a KEV a la fecha.
WordPress websites utilizing Advanced Custom Fields PRO, particularly those hosting sensitive data within custom fields or relying on the plugin for critical functionality, are at significant risk. Shared hosting environments where plugin updates are not managed centrally are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/advanced-custom-fields-pro/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/advanced-custom-fields-pro/somefile../sensitive_file.php' # Check for 200 OK response indicating file accessdisclosure
Estado del Exploit
EPSS
0.65% (71% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Advanced Custom Fields PRO a la versión 6.2.10 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restringir el acceso al directorio del plugin a través de reglas de firewall o WAF puede ayudar a mitigar el riesgo. Además, se recomienda revisar los permisos de los archivos y directorios del plugin para asegurar que solo el usuario web tenga acceso de lectura y escritura. Monitorear los logs del servidor en busca de intentos de acceso a archivos inusuales también puede ayudar a detectar y prevenir ataques. Tras la actualización, verifique la integridad del plugin y la configuración del sitio para confirmar que la vulnerabilidad ha sido resuelta.
Actualice el plugin Advanced Custom Fields PRO a la versión 6.2.10 o superior. Esta actualización corrige la vulnerabilidad de inclusión de archivos locales. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-34762 es una vulnerabilidad de Path Traversal en Advanced Custom Fields PRO que permite la inclusión de archivos locales PHP, comprometiendo la seguridad del sitio web.
Sí, si está utilizando Advanced Custom Fields PRO en una versión anterior a 6.2.10, su sitio web es vulnerable a esta vulnerabilidad.
Actualice Advanced Custom Fields PRO a la versión 6.2.10 o superior para corregir la vulnerabilidad. Implemente medidas de seguridad adicionales si la actualización no es inmediata.
Actualmente no se dispone de información sobre campañas de explotación activas, pero la alta puntuación CVSS indica un alto riesgo.
Consulte el sitio web oficial de Advanced Custom Fields PRO o su blog de seguridad para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.