Plataforma
wordpress
Componente
salon-booking-system
Corregido en
9.9.1
Se ha identificado una vulnerabilidad de acceso arbitrario a archivos (path traversal) en el sistema de reservas de salón Salon Booking System. Esta falla permite la manipulación de archivos, lo que podría resultar en la exposición de información sensible o la ejecución de código malicioso. La vulnerabilidad afecta a las versiones del sistema de reservas de salón hasta la 9.9, y se recomienda actualizar a la versión 9.9.1 para solucionar el problema.
La vulnerabilidad de path traversal en Salon Booking System permite a un atacante acceder a archivos arbitrarios en el servidor donde está instalado el sistema. Esto significa que un atacante podría leer archivos de configuración, código fuente, o incluso archivos de bases de datos, comprometiendo la confidencialidad de la información. En un escenario de ataque, un atacante podría subir un archivo malicioso y ejecutarlo en el servidor, obteniendo control sobre el sistema. El alcance de la vulnerabilidad es amplio, ya que cualquier archivo accesible por el proceso del sistema de reservas de salón es potencialmente vulnerable. Esta vulnerabilidad es similar a otros ataques de path traversal que han permitido a los atacantes acceder a información sensible en sistemas web.
La vulnerabilidad CVE-2024-37231 fue publicada el 24 de junio de 2024. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la redacción. No se han encontrado pruebas públicas de un proof-of-concept (PoC) disponible, lo que sugiere que la explotación podría requerir un conocimiento técnico más avanzado.
Organizations using the Salon Booking System plugin, particularly those with older versions (≤9.9) and those who haven't implemented robust file access controls, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one user's installation could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/salon-booking-system/• generic web:
curl -I http://your-salon-booking-system/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el sistema Salon Booking System a la versión 9.9.1, que incluye la corrección para el path traversal. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir los permisos de acceso a los archivos del sistema de reservas de salón. Además, se puede configurar un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo. Es crucial revisar la configuración del servidor web para asegurarse de que no se permita el acceso directo a archivos sensibles. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se puede acceder a archivos arbitrarios a través de la ruta del archivo.
Actualice el plugin Salon Booking System a la última versión disponible. La vulnerabilidad de eliminación arbitraria de archivos se ha corregido en versiones posteriores a la 9.9. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-37231 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a server running the Salon Booking System. It impacts versions up to 9.9.
You are affected if you are using Salon Booking System version 9.9 or earlier. Upgrade to 9.9.1 to mitigate the risk.
Upgrade to Salon Booking System version 9.9.1 or later. As a temporary workaround, restrict file access permissions or implement a WAF.
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Salon Booking System website or security advisory channels for the latest information and updates regarding CVE-2024-37231.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.