Plataforma
wordpress
Componente
wp-jobsearch
Corregido en
2.3.5
La vulnerabilidad CVE-2024-43245, clasificada como Improper Privilege Management, afecta al componente JobSearch de eyecix. Esta falla permite la escalada de privilegios, lo que significa que un atacante podría obtener acceso no autorizado a funcionalidades o datos sensibles. La vulnerabilidad impacta a las versiones de JobSearch desde la versión inicial hasta la 2.3.4, y ha sido solucionada en la versión 2.3.5.
Un atacante que explote esta vulnerabilidad podría obtener privilegios elevados dentro del sistema JobSearch. Esto podría permitirle acceder a información confidencial, modificar datos críticos, o incluso tomar control del sistema. El alcance del impacto dependerá de los permisos que el atacante logre obtener, pero en el peor de los casos, podría comprometer la integridad y confidencialidad de toda la aplicación y los datos asociados. La severidad CRÍTICA (CVSS 9.8) indica un riesgo significativo y la necesidad de una acción inmediata.
La vulnerabilidad CVE-2024-43245 fue publicada el 19 de agosto de 2024. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un alto riesgo potencial. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
WordPress sites utilizing the eyecix JobSearch plugin, particularly those running older versions (≤2.3.4), are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to lateral movement to others.
• wordpress / composer / npm:
wp plugin list | grep JobSearch• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status JobSearch• generic web: Check WordPress admin panel for unauthorized user role changes or plugin installations.
disclosure
Estado del Exploit
EPSS
0.35% (58% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-43245 es actualizar JobSearch a la versión 2.3.5 o superior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales como restringir el acceso a funciones sensibles, revisar y fortalecer los controles de autenticación y autorización, y monitorear los registros del sistema en busca de actividades sospechosas. Si la actualización causa problemas de compatibilidad, intente una reversión a una versión anterior estable antes de la vulnerabilidad, y luego aplique la actualización después de resolver los conflictos. Implemente reglas en su firewall de aplicaciones web (WAF) para bloquear intentos de explotación conocidos.
Actualice el plugin JobSearch a la última versión disponible. La versión más reciente incluye una solución para la vulnerabilidad de escalada de privilegios. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'JobSearch'. Si hay una actualización disponible, haga clic en 'Actualizar ahora'.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-43245 is a critical vulnerability in the eyecix JobSearch WordPress plugin that allows attackers to gain elevated privileges, potentially compromising the entire website.
Yes, if you are using eyecix JobSearch version 2.3.4 or earlier, you are affected by this vulnerability and should upgrade immediately.
Upgrade to eyecix JobSearch version 2.3.5 or later to remediate the vulnerability. If immediate upgrade is not possible, restrict access to the plugin's admin interface.
While no public exploits are currently available, the critical severity and ease of exploitation suggest a high likelihood of active exploitation in the near future.
Refer to the official eyecix JobSearch plugin documentation and WordPress security announcements for the latest advisory and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.