Plataforma
wordpress
Componente
striking-r
Corregido en
2.3.5
Se ha identificado una vulnerabilidad de Path Traversal en el plugin Striking para WordPress. Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad e integridad de los datos. La vulnerabilidad afecta a las versiones de Striking anteriores o iguales a 2.3.4, y se recomienda actualizar a la versión 2.3.5 para mitigar el riesgo.
La vulnerabilidad de Path Traversal en Striking permite a un atacante, con acceso a la interfaz de administración de WordPress, manipular las solicitudes para acceder a archivos fuera del directorio previsto. Esto podría incluir la lectura de archivos de configuración, contraseñas, código fuente u otros datos sensibles almacenados en el servidor. Un atacante podría, por ejemplo, acceder a archivos de backup, archivos de log o incluso archivos de configuración de la base de datos. El impacto potencial es alto, ya que la exposición de estos archivos podría conducir a la completa toma de control del servidor o a la exfiltración de información confidencial. La severidad de esta vulnerabilidad es comparable a otras vulnerabilidades de Path Traversal que han permitido el acceso no autorizado a sistemas críticos.
Esta vulnerabilidad fue publicada el 9 de julio de 2024. No se ha reportado su inclusión en el KEV de CISA. Actualmente no se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas para detectar intentos de explotación.
WordPress websites utilizing the Striking plugin, particularly those running older versions (≤2.3.4), are at risk. Shared hosting environments where file system permissions are less tightly controlled are especially vulnerable. Sites with weak security configurations or inadequate input validation practices are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/striking/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/striking/../../../../etc/passwd' # Check for sensitive file accessdisclosure
Estado del Exploit
EPSS
1.08% (78% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Striking a la versión 2.3.5 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Esto puede incluir la restricción del acceso al plugin a través de un firewall de aplicaciones web (WAF) o un proxy inverso, configurando reglas para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo. Además, se recomienda revisar los permisos de los archivos y directorios del servidor para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes a las rutas vulnerables ahora devuelven un error 403 (Prohibido).
Actualice el tema Striking a una versión posterior a la 2.3.4. Si no hay una versión disponible, considere deshabilitar o reemplazar el tema con una alternativa segura. Consulte la documentación del tema o al proveedor para obtener instrucciones específicas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-37268 is a Path Traversal vulnerability affecting the Striking WordPress plugin, allowing attackers to access arbitrary files on the server.
You are affected if you are using Striking WordPress plugin versions 2.3.4 or earlier. Upgrade to 2.3.5 or later to resolve the vulnerability.
Upgrade the Striking WordPress plugin to version 2.3.5 or later. Implement temporary workarounds like restricting file access and validating user input if immediate upgrade is not possible.
No active exploitation campaigns have been confirmed, but the vulnerability's nature suggests a potential for rapid exploitation if a PoC is released.
Refer to the Striking plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.