Plataforma
wordpress
Componente
ovic-import-demo
Corregido en
1.6.4
La vulnerabilidad CVE-2024-35754 es una falla de Path Traversal detectada en el componente Ovic Importer de Ovic Team. Esta falla permite a un atacante acceder a archivos arbitrarios en el sistema, comprometiendo la confidencialidad de la información. Afecta a las versiones del plugin desde la versión n/a hasta la 1.6.3, siendo la solución la actualización a la versión 1.6.4.
Un atacante que explote esta vulnerabilidad puede leer archivos confidenciales del servidor, incluyendo archivos de configuración, contraseñas, o incluso código fuente. La falta de una validación adecuada de las rutas de archivo permite la manipulación de la entrada para acceder a directorios fuera del alcance previsto. Esto podría resultar en la exposición de información sensible, la modificación de archivos del sistema, o incluso la ejecución de código malicioso si se combinara con otras vulnerabilidades. Aunque no se han reportado explotaciones públicas activas, la naturaleza de Path Traversal la convierte en un vector de ataque común y potencialmente peligroso.
La vulnerabilidad fue publicada el 10 de junio de 2024. Actualmente, no se encuentra listada en el KEV de CISA ni se han reportado campañas de explotación activas. Sin embargo, la naturaleza de Path Traversal implica una probabilidad de explotación moderada, ya que es un vector de ataque bien conocido y relativamente fácil de explotar. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
WordPress websites utilizing the Ovic Importer plugin, particularly those running older versions (≤1.6.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with misconfigured file permissions that allow the web server user to access sensitive files are at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ovic-importer/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/ovic-importer/../../../../etc/passwd' # Check for file accessdisclosure
Estado del Exploit
EPSS
0.78% (74% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Ovic Importer a la versión 1.6.4, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar restricciones de acceso a los directorios sensibles del servidor. Además, se debe validar rigurosamente todas las entradas de usuario que se utilizan para construir rutas de archivo. Considerar el uso de un Web Application Firewall (WAF) con reglas para bloquear intentos de Path Traversal. Monitorear los logs del servidor en busca de patrones sospechosos, como solicitudes a archivos fuera del directorio raíz del sitio web.
Actualice el plugin Ovic Importer a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de Path Traversal.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-35754 is a security vulnerability in Ovic Importer allowing attackers to read arbitrary files via path traversal. It's rated HIGH severity (CVSS 7.5) and affects versions up to 1.6.3.
You are affected if you are using Ovic Importer version 1.6.3 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade Ovic Importer to version 1.6.4 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There is currently no evidence of active exploitation, but it's crucial to apply the patch promptly to prevent potential future attacks.
Refer to the Ovic Importer project's official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.