Plataforma
wordpress
Componente
sp-client-document-manager
Corregido en
4.71.1
Se ha identificado una vulnerabilidad de Directory Traversal en SP Project & Document Manager, afectando versiones hasta la 4.71. Esta falla permite a atacantes acceder a archivos arbitrarios en el servidor, comprometiendo la confidencialidad de la información. La vulnerabilidad fue publicada el 9 de julio de 2024 y se ha lanzado una actualización a la versión 4.71.1 para corregirla.
La vulnerabilidad de Directory Traversal en SP Project & Document Manager permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o incluso datos sensibles almacenados en el servidor. Un atacante podría obtener información confidencial, modificar archivos del sistema, o incluso ejecutar código malicioso si el servidor está configurado de forma insegura. El impacto potencial es significativo, especialmente en entornos donde SP Project & Document Manager se utiliza para gestionar documentos críticos.
La vulnerabilidad CVE-2024-37224 se ha hecho pública recientemente. No se ha reportado explotación activa a la fecha, pero la naturaleza de la vulnerabilidad de Directory Traversal la convierte en un objetivo atractivo para atacantes. Es importante implementar las medidas de mitigación lo antes posible para reducir el riesgo de explotación. La vulnerabilidad no figura en el KEV de CISA al momento de esta redacción.
Organizations using SP Project & Document Manager, particularly those running older versions (≤4.71) on shared hosting environments, are at increased risk. Sites with misconfigured file permissions or inadequate WAF protection are also more vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/sp-project-document-manager/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/uploads/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
1.49% (81% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar SP Project & Document Manager a la versión 4.71.1, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio de instalación de SP Project & Document Manager a través de reglas de firewall o WAF. Además, se debe revisar la configuración del servidor web para asegurar que no se permita el acceso a archivos sensibles fuera del directorio raíz del sitio web. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando acceder a archivos fuera del directorio esperado y verificando que la solicitud sea rechazada.
Actualice el plugin SP Project & Document Manager a la última versión disponible. La vulnerabilidad de path traversal permite el acceso a archivos no autorizados, por lo que es crucial actualizar para mitigar el riesgo. Consulte la página del plugin en WordPress.org para obtener la versión más reciente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-37224 is a vulnerability allowing attackers to read arbitrary files on a server running SP Project & Document Manager. It's rated HIGH severity due to the potential for sensitive data exposure.
You are affected if you are using SP Project & Document Manager versions 4.71 and earlier. Upgrade to 4.71.1 to resolve the issue.
Upgrade to version 4.71.1 or later. As a temporary workaround, implement WAF rules to block path traversal attempts and monitor access logs.
As of July 2024, no active exploitation has been publicly confirmed, but it's crucial to apply the patch promptly.
Refer to the official SP Project & Document Manager website or their security advisory page for the latest information and updates regarding CVE-2024-37224.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.