Plataforma
wordpress
Componente
advanced-classifieds-and-directory-pro
Corregido en
3.1.4
La vulnerabilidad CVE-2024-37501 es una falla de Path Traversal descubierta en el plugin Advanced Classifieds & Directory Pro. Esta falla permite a un atacante acceder a archivos fuera del directorio previsto, comprometiendo la confidencialidad de datos. Afecta a versiones del plugin menores o iguales a 3.1.3. Una actualización a la versión 3.1.4 resuelve la vulnerabilidad.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el servidor web, potencialmente incluyendo información sensible como contraseñas, claves de API, o datos de configuración. El acceso no autorizado a estos archivos podría resultar en la divulgación de información confidencial, la modificación de archivos del sistema, o incluso la ejecución de código malicioso si el atacante puede subir archivos a través de esta ruta. La severidad del impacto depende de los permisos del usuario web y de la ubicación de los archivos accesibles a través de la vulnerabilidad. Esta falla se asemeja a otras vulnerabilidades de Path Traversal que han permitido el acceso a bases de datos y la ejecución de comandos en el servidor.
La vulnerabilidad fue publicada el 9 de julio de 2024. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa. La vulnerabilidad no se encuentra en el KEV de CISA ni se ha reportado un EPSS score.
Websites utilizing PluginsWare Advanced Classifieds & Directory Pro, particularly those running older versions (≤3.1.3) and those with shared hosting environments where file permissions may be less restrictive, are at increased risk. Sites with sensitive data stored on the server are especially vulnerable.
• wordpress / plugin:
wp plugin list | grep Advanced Classifieds• wordpress / plugin: Check for unusual files in the plugin's directory or accessible via web requests.
• generic web: Monitor web server access logs for requests containing ../ or other path traversal sequences.
• generic web: Use a WAF to block requests containing suspicious path traversal patterns.
disclosure
Estado del Exploit
EPSS
1.46% (81% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Advanced Classifieds & Directory Pro a la versión 3.1.4 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al directorio del plugin a través de reglas de firewall o WAF (Web Application Firewall). Implementar reglas WAF que bloqueen solicitudes con secuencias de caracteres como '../' en la ruta del archivo puede ayudar a mitigar el riesgo. Además, revise los permisos de los archivos y directorios del plugin para asegurar que solo el usuario web tenga acceso de lectura y escritura. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se puede acceder a archivos fuera del directorio previsto.
Actualice el plugin Advanced Classifieds & Directory Pro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 3.1.3. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-37501 is a Path Traversal vulnerability affecting Advanced Classifieds & Directory Pro versions up to 3.1.3, allowing attackers to access arbitrary files on the server.
You are affected if you are using Advanced Classifieds & Directory Pro version 3.1.3 or earlier. Upgrade to 3.1.4 to mitigate the risk.
Upgrade Advanced Classifieds & Directory Pro to version 3.1.4 or later. If immediate upgrade is not possible, implement temporary workarounds like WAF rules and file permission restrictions.
There is currently no indication of active exploitation campaigns, but the vulnerability's nature suggests potential for rapid exploitation.
Refer to the PluginsWare website and WordPress plugin repository for the latest advisory and update information regarding CVE-2024-37501.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.