Plataforma
wordpress
Componente
makestories-helper
Corregido en
3.0.4
La vulnerabilidad CVE-2024-38746 es una falla de Path Traversal/Server Side Request Forgery (SSRF) descubierta en el plugin MakeStories para Google Web Stories. Esta falla permite a atacantes acceder a archivos sensibles en el servidor y potencialmente realizar solicitudes a recursos internos, comprometiendo la confidencialidad y la integridad del sitio web. La vulnerabilidad afecta a las versiones del plugin desde la versión inicial hasta la 3.0.3, y se ha solucionado en la versión 3.0.4.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el servidor web, incluyendo archivos de configuración, contraseñas y otros datos confidenciales. Además, la capacidad de SSRF permite al atacante realizar solicitudes a otros servidores internos, potencialmente comprometiendo otros sistemas dentro de la red. Esto podría resultar en la divulgación de información sensible, la ejecución de código arbitrario y el control total del sitio web. La naturaleza de Path Traversal amplifica el riesgo, ya que permite a los atacantes eludir las protecciones de seguridad estándar.
La vulnerabilidad fue publicada el 1 de agosto de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal y SSRF la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear los logs del servidor en busca de actividad sospechosa. La vulnerabilidad no se encuentra en el KEV de CISA al momento de esta redacción.
Websites utilizing MakeStories for Google Web Stories, particularly those running versions prior to 3.0.4, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites that rely on MakeStories to integrate with internal or external APIs are also at higher risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/makestories/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/makestories/some-file.php?url=../sensitive-file• wordpress / composer / npm:
wp plugin list --status=active | grep makestoriesdisclosure
Estado del Exploit
EPSS
0.79% (74% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-38746 es actualizar el plugin MakeStories a la versión 3.0.4 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Además, revise los permisos de los archivos y directorios del servidor para asegurar que solo los usuarios autorizados tengan acceso a ellos.
Actualice el plugin MakeStories (for Google Web Stories) a una versión posterior a la 3.0.3. Esto solucionará las vulnerabilidades de Path Traversal y Server Side Request Forgery. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-38746 is a Server-Side Request Forgery vulnerability affecting MakeStories versions up to 3.0.3, allowing attackers to make unauthorized requests. It has a CVSS score of 7.1 (HIGH).
Yes, if you are using MakeStories (for Google Web Stories) version 3.0.3 or earlier, you are vulnerable to this SSRF vulnerability.
Upgrade MakeStories to version 3.0.4 or later to resolve the vulnerability. Consider implementing WAF rules as a temporary workaround if immediate upgrade is not possible.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a potential for active campaigns. Monitoring is advised.
Refer to the MakeStories official website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.