Plataforma
wordpress
Componente
event-post
Corregido en
5.9.6
Se ha identificado una vulnerabilidad de Path Traversal en el plugin Event post para WordPress. Esta vulnerabilidad, catalogada como CVE-2024-38735, permite la inclusión de archivos locales PHP, lo que podría llevar a la ejecución remota de código. La vulnerabilidad afecta a versiones del plugin Event post anteriores o iguales a 5.9.5. La solución es actualizar a la versión 5.9.6.
La vulnerabilidad de Path Traversal en Event post permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos arbitrarios en el servidor web. Esto incluye archivos de configuración sensibles, código fuente y otros archivos que podrían contener información confidencial. Un atacante podría, por ejemplo, incluir el archivo php.ini para modificar la configuración del PHP, o incluir un archivo malicioso para ejecutar código arbitrario en el servidor. La ejecución de código arbitrario podría permitir al atacante tomar el control completo del servidor web, comprometer la base de datos y robar información confidencial.
CVE-2024-38735 fue publicado el 12 de julio de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a escaneo automatizado. La puntuación CVSS de 7.5 (ALTO) indica una probabilidad moderada de explotación. No se ha añadido a la lista KEV de CISA al momento de la redacción.
WordPress websites utilizing the N.O.U.S. Event post plugin, particularly those running versions prior to 5.9.6, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server file permissions and configurations. Sites with weak security practices or outdated plugins are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/event-post/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/event-post/../../../../etc/passwd"• wordpress / composer / npm:
wp plugin list --status=inactive• wordpress / composer / npm:
wp plugin update event-postdisclosure
Estado del Exploit
EPSS
2.21% (84% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-38735 es actualizar el plugin Event post a la versión 5.9.6 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres de path traversal (por ejemplo, ../). Además, revise los permisos de los archivos y directorios del plugin para asegurar que solo sean accesibles por el usuario web.
Actualice el plugin Event post a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se soluciona en versiones posteriores a la 5.9.5. Consulte la documentación del plugin para obtener instrucciones detalladas sobre cómo actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-38735 is a Path Traversal vulnerability in the N.O.U.S. Event post WordPress plugin, allowing attackers to potentially read arbitrary files on the server.
You are affected if you are using N.O.U.S. Event post version 5.9.5 or earlier. Upgrade to version 5.9.6 to resolve the issue.
Upgrade the N.O.U.S. Event post plugin to version 5.9.6. As a temporary workaround, restrict file access permissions and validate user input.
There is currently no confirmed active exploitation, but the vulnerability's nature makes it likely that exploits will emerge.
Refer to the N.O.U.S. website or the WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.