Plataforma
wordpress
Componente
wp-time-capsule
Corregido en
1.22.21
La vulnerabilidad CVE-2024-38770 es una falla de Gestión Inapropiada de Privilegios descubierta en el plugin Backup and Staging by WP Time Capsule. Esta falla permite una escalada de privilegios y elusión de la autenticación, comprometiendo la seguridad del sitio web. Afecta a las versiones del plugin desde la versión n/a hasta la 1.22.20, siendo resuelta en la versión 1.22.21.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a funciones administrativas del sitio WordPress, sin necesidad de credenciales válidas. Esto podría resultar en la modificación de contenido, la instalación de malware, el robo de datos sensibles de usuarios y la toma del control completo del sitio web. La falta de autenticación necesaria para explotar esta vulnerabilidad la convierte en un riesgo particularmente alto, ya que un atacante podría comprometer el sitio desde fuera, sin necesidad de acceder a la consola de administración.
La vulnerabilidad fue publicada el 1 de agosto de 2024. No se ha reportado explotación activa en campañas conocidas. La severidad del CVSS de 9.8 indica un riesgo crítico y requiere atención inmediata. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar posibles intentos de explotación.
Websites using the Backup and Staging by WP Time Capsule plugin, particularly those running older versions (≤1.22.20), are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at risk if they have not yet applied the update. Sites with weak password policies or those that have not implemented multi-factor authentication are especially vulnerable.
• wordpress / composer / npm:
wp plugin list | grep "Backup and Staging by WP Time Capsule"• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r "Revmakx Backup and Staging" /var/log/apache2/access.log | tail -n 10• wordpress / composer / npm:
wp option get plugin_active_plugins | grep "wp-time-capsule/wp-time-capsule.php"disclosure
Estado del Exploit
EPSS
0.14% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-38770 es actualizar inmediatamente el plugin Backup and Staging by WP Time Capsule a la versión 1.22.21 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida adicional, revise los permisos de usuario en WordPress para asegurar que solo los usuarios autorizados tengan acceso a funciones administrativas. Implemente un firewall de aplicaciones web (WAF) para detectar y bloquear intentos de explotación.
Actualice el plugin Backup and Staging by WP Time Capsule a la última versión disponible. La vulnerabilidad se encuentra en versiones iguales o anteriores a la 1.22.20. La actualización corregirá la vulnerabilidad de escalada de privilegios y omisión de autenticación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-38770 is a CRITICAL vulnerability in the Backup and Staging by WP Time Capsule plugin for WordPress, allowing attackers to bypass authentication and gain elevated privileges.
Yes, if you are using Backup and Staging by WP Time Capsule version 1.22.20 or earlier, you are affected by this vulnerability.
Upgrade the Backup and Staging by WP Time Capsule plugin to version 1.22.21 or later to remediate the vulnerability.
While no confirmed active exploitation campaigns have been reported, the CRITICAL severity and ease of exploitation suggest a high probability of exploitation.
Refer to the official Backup and Staging by WP Time Capsule website or the WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.