Plataforma
wordpress
Componente
booking-ultra-pro
Corregido en
1.1.14
La vulnerabilidad CVE-2024-38717 es una falla de Path Traversal descubierta en el plugin Booking Ultra Pro Appointments Booking Calendar para WordPress. Esta vulnerabilidad permite a un atacante incluir archivos locales PHP, lo que podría resultar en la ejecución de código malicioso en el servidor. Afecta a las versiones del plugin desde la versión desconocida hasta la 1.1.13, y se ha solucionado en la versión 1.1.14.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el servidor web, potencialmente incluyendo archivos de configuración, contraseñas u otros datos sensibles. La inclusión de archivos locales PHP permite la ejecución de código malicioso, lo que podría llevar al control completo del servidor WordPress. El impacto es significativo, ya que un atacante podría comprometer la confidencialidad, integridad y disponibilidad del sitio web y sus datos. Esta vulnerabilidad es similar a otras fallas de Path Traversal que han permitido el acceso no autorizado a información crítica en entornos web.
La vulnerabilidad fue publicada el 12 de julio de 2024. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la falla de Path Traversal la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear los registros del servidor en busca de actividad sospechosa. No se ha añadido a KEV al momento de la redacción.
WordPress websites utilizing the Booking Ultra Pro Appointments plugin, particularly those running versions prior to 1.1.14, are at risk. Shared hosting environments where WordPress installations have limited control over file permissions are especially vulnerable. Sites with weak server configurations or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/booking-ultra-pro-appointments/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/booking-ultra-pro-appointments/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
1.23% (79% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-38717 es actualizar Booking Ultra Pro Appointments a la versión 1.1.14 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres de Path Traversal (../) en la URL. Además, revise los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso a ellos.
Actualice el plugin Booking Ultra Pro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-38717 is a Path Traversal vulnerability in the Booking Ultra Pro Appointments WordPress plugin, allowing attackers to potentially include arbitrary files.
Yes, if you are using Booking Ultra Pro Appointments version 1.1.13 or earlier, you are affected by this vulnerability.
Upgrade the Booking Ultra Pro Appointments plugin to version 1.1.14 or later to resolve this vulnerability.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.