Plataforma
wordpress
Componente
wp-cafe
Corregido en
2.2.28
La vulnerabilidad CVE-2024-37513 es una falla de Path Traversal detectada en el plugin WPCafe para WordPress. Esta vulnerabilidad permite a atacantes acceder a archivos fuera del directorio previsto, comprometiendo la confidencialidad e integridad del sistema. Afecta a versiones del plugin WPCafe anteriores o iguales a 2.2.27. La solución es actualizar a la versión 2.2.28.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el servidor web, potencialmente exponiendo información confidencial como contraseñas, claves de API, datos de configuración o incluso código fuente. El acceso no autorizado a estos archivos podría llevar a la escalada de privilegios, la ejecución remota de código o el robo de datos sensibles. La severidad del impacto depende de la sensibilidad de los archivos accesibles y de la configuración del servidor web. Esta vulnerabilidad es similar a otras fallas de Path Traversal que han permitido el acceso a información crítica en entornos WordPress.
La vulnerabilidad CVE-2024-37513 fue publicada el 9 de julio de 2024. No se ha añadido a KEV ni se ha reportado un EPSS score. Actualmente no se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas afectados.
WordPress websites utilizing the WPCafe plugin, particularly those running older versions (≤2.2.27), are at risk. Shared hosting environments where server file permissions are not tightly controlled are especially vulnerable, as an attacker could potentially leverage this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wpcafe/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wpcafe/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list | grep wpcafédisclosure
Estado del Exploit
EPSS
1.23% (79% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-37513 es actualizar el plugin WPCafe a la versión 2.2.28 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir los permisos de acceso a los archivos del servidor web y utilizar un firewall de aplicaciones web (WAF) para bloquear intentos de acceso no autorizados. Además, revise los logs del servidor en busca de patrones sospechosos que indiquen un intento de explotación. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los intentos de acceder a archivos fuera del directorio previsto sean bloqueados.
Actualice el plugin WPCafe a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se ha corregido en versiones posteriores a la 2.2.27. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-37513 is a Path Traversal vulnerability affecting the WPCafe WordPress plugin, allowing attackers to read arbitrary files on the server.
You are affected if you are using WPCafe version 2.2.27 or earlier. Upgrade to version 2.2.28 to resolve the vulnerability.
Upgrade the WPCafe plugin to version 2.2.28 or later. As a temporary workaround, restrict file access permissions and implement WAF rules to block path traversal attempts.
While there is no confirmed active exploitation, public proof-of-concept exploits are emerging, increasing the risk.
Refer to the official WPCafe plugin website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.