Plataforma
wordpress
Componente
listingpro-plugin
Corregido en
2.9.4
La vulnerabilidad CVE-2024-39621 es una falla de Path Traversal descubierta en el plugin ListingPro para WordPress. Esta falla permite la inclusión de archivos locales PHP, lo que podría permitir a un atacante acceder a información confidencial del servidor. La vulnerabilidad afecta a versiones del plugin hasta la 2.9.3, y se ha lanzado una actualización (2.9.4) para corregirla.
Un atacante que explote esta vulnerabilidad puede incluir archivos arbitrarios en el servidor web, lo que podría resultar en la divulgación de información sensible, como contraseñas, claves de API o código fuente. La inclusión de archivos locales PHP permite al atacante ejecutar código malicioso en el contexto del servidor web, lo que podría llevar a la toma de control del sitio web o incluso del servidor. El impacto potencial es significativo, especialmente en entornos de producción donde se almacenan datos confidenciales.
Esta vulnerabilidad ha sido publicada públicamente el 1 de agosto de 2024. No se ha reportado su inclusión en el KEV de CISA ni se conocen campañas de explotación activas en este momento. Sin embargo, dada la naturaleza de la vulnerabilidad de Path Traversal, es probable que sea objeto de escaneo automatizado y explotación por parte de actores maliciosos.
WordPress sites utilizing the ListingPro plugin, particularly those running versions prior to 2.9.4, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher concentration of vulnerable plugins. Sites with sensitive data or those used for e-commerce are also at higher risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/listingpro/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/listingpro/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
1.16% (79% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin ListingPro a la versión 2.9.4 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al archivo vulnerable mediante reglas de firewall o proxy. Además, se debe revisar la configuración del servidor web para asegurar que no se permita la ejecución de archivos PHP en directorios sensibles. Monitorear los logs del servidor en busca de intentos de acceso a archivos no autorizados también es crucial.
Actualice el plugin ListingPro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 2.9.3. Consulte la documentación del plugin para obtener instrucciones sobre cómo actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-39621 is a Path Traversal vulnerability affecting the ListingPro WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using ListingPro versions 2.9.3 or earlier. Upgrade to 2.9.4 to resolve the issue.
Upgrade the ListingPro plugin to version 2.9.4 or later. As a temporary workaround, implement WAF rules to block path traversal attempts.
While no active exploitation has been confirmed, the vulnerability is well-understood and exploitation is likely.
Refer to the official ListingPro website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.