Plataforma
wordpress
Componente
wp-file-checker
Corregido en
0.6.1
Se ha identificado una vulnerabilidad de Acceso Arbitrario de Archivos (Path Traversal) en SC filechecker, un componente para WordPress. Esta falla permite a un atacante acceder a archivos sensibles en el servidor, potencialmente comprometiendo la integridad y confidencialidad de los datos. La vulnerabilidad afecta a las versiones de SC filechecker anteriores o iguales a 0.6. Se ha publicado una actualización a la versión 0.6.1 para solucionar este problema.
La vulnerabilidad de Path Traversal en SC filechecker permite a un atacante eludir las restricciones de acceso al sistema de archivos. Un atacante podría, por ejemplo, utilizar secuencias como ../ para navegar fuera del directorio previsto y acceder a archivos de configuración, código fuente o datos sensibles almacenados en el servidor web. La explotación exitosa de esta vulnerabilidad podría resultar en la divulgación de información confidencial, la modificación de archivos críticos del sistema o incluso la ejecución remota de código, dependiendo de los permisos del usuario web y la ubicación de los archivos accesibles. Esta vulnerabilidad es particularmente preocupante en entornos de alojamiento compartido, donde un atacante podría utilizarla para comprometer otros sitios web alojados en el mismo servidor.
La vulnerabilidad CVE-2024-35743 fue publicada el 10 de junio de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de esta redacción. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a explotación. Se recomienda monitorear activamente los registros del servidor web en busca de intentos de acceso no autorizados.
WordPress websites using the SC filechecker plugin, particularly those running versions prior to 0.6.1, are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with misconfigured file permissions are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/sc-filechecker/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/sc-filechecker/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.17% (39% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar SC filechecker a la versión 0.6.1 o posterior, que incluye la corrección para el problema de Path Traversal. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio de instalación de SC filechecker a través de reglas de firewall o WAF. Además, se debe revisar y endurecer la configuración del servidor web para limitar los permisos del usuario web y restringir el acceso a archivos sensibles. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando acceder a archivos fuera del directorio esperado a través de solicitudes HTTP con secuencias de Path Traversal.
Actualice el plugin SC filechecker a una versión posterior a la 0.6. Si no hay una versión disponible, considere desinstalar el plugin hasta que se publique una versión corregida. Esto evitará la eliminación arbitraria de archivos en su servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-35743 is a HIGH severity vulnerability allowing attackers to manipulate files via path traversal in SC filechecker versions up to 0.6, potentially leading to server compromise.
You are affected if you are using SC filechecker versions prior to 0.6.1. Check your plugin version and upgrade immediately if necessary.
Upgrade SC filechecker to version 0.6.1 or later to resolve this vulnerability. Consider implementing file access controls as an additional precaution.
Currently, there are no known active exploits targeting CVE-2024-35743, but it's crucial to apply the patch promptly to prevent future exploitation.
Refer to the official SC filechecker project website or repository for the latest security advisories and updates related to CVE-2024-35743.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.