Plataforma
wordpress
Componente
timeline-and-history-slider
Corregido en
2.3.1
Se ha identificado una vulnerabilidad de Path Traversal en el componente Timeline and History slider del plugin WP OnlineSupport, Essential Plugin Timeline and History slider. Esta vulnerabilidad permite la inclusión de archivos PHP locales, lo que podría resultar en la ejecución de código malicioso en el servidor. Afecta a las versiones del plugin desde la versión no especificada hasta la 2.3. Una actualización a la versión 2.3.1 soluciona este problema.
La vulnerabilidad de Path Traversal permite a un atacante acceder a archivos sensibles en el servidor web, incluyendo archivos de configuración, código fuente y datos confidenciales. Al incluir archivos PHP locales, un atacante podría ejecutar código arbitrario en el contexto del servidor web, comprometiendo la integridad y confidencialidad del sitio web. Esto podría resultar en la exfiltración de datos, la modificación de contenido, o incluso el control total del servidor. La inclusión de archivos locales abre la puerta a la ejecución remota de código, lo que amplía significativamente el impacto potencial.
Esta vulnerabilidad ha sido publicada el 19 de agosto de 2024. No se ha confirmado la explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a escaneos automatizados y explotación por parte de atacantes. Es importante aplicar la mitigación lo antes posible para reducir el riesgo de exposición.
WordPress websites utilizing the WP OnlineSupport Timeline and History slider plugin, particularly those running versions prior to 2.3.1, are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/timeline-and-history-slider/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/timeline-and-history-slider/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.77% (73% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin WP OnlineSupport, Essential Plugin Timeline and History slider a la versión 2.3.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede restringir el acceso al componente Timeline and History slider mediante reglas de firewall o WAF (Web Application Firewall) que bloqueen solicitudes sospechosas. Verifique que los permisos de los archivos y directorios del plugin sean restrictivos para evitar la ejecución no autorizada de código.
Actualiza el plugin Timeline and History slider a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-43232 is a Path Traversal vulnerability in the WP OnlineSupport Timeline and History slider plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using WP OnlineSupport Timeline and History slider version 2.3 or earlier. Upgrade to 2.3.1 to resolve the issue.
Upgrade the WP OnlineSupport Timeline and History slider plugin to version 2.3.1 or later. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
While no confirmed active exploitation has been publicly reported, the vulnerability's ease of exploitation suggests it is a potential target for attackers.
Refer to the WP OnlineSupport website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.