Plataforma
wordpress
Componente
page-builder-add
Corregido en
1.5.3
La vulnerabilidad CVE-2024-43345 es una falla de Path Traversal detectada en el plugin Landing Page Builder. Esta falla permite a un atacante incluir archivos locales PHP, comprometiendo potencialmente la confidencialidad y la integridad del sistema. Afecta a las versiones del plugin desde la versión desconocida hasta la 1.5.2.0. Se ha lanzado una corrección en la versión 1.5.3.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el servidor, incluyendo archivos de configuración sensibles, contraseñas o código fuente. Esto podría llevar a la divulgación de información confidencial, la ejecución de código malicioso en el servidor, o la toma de control completa del sitio web. La inclusión de archivos locales PHP abre una puerta para la ejecución de código no autorizado, permitiendo a los atacantes comprometer la seguridad del sitio WordPress. La severidad de este problema radica en la facilidad con la que un atacante puede explotarlo y el potencial daño que puede causar.
Este CVE ha sido publicado el 19 de agosto de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a escaneos automatizados y explotación por parte de atacantes. No se encuentra en el KEV de CISA al momento de la redacción.
WordPress websites utilizing the PluginOps Landing Page Builder plugin, particularly those running versions prior to 1.5.3, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server file permissions, increasing the potential impact of a successful exploit.
• wordpress / plugin:
wp plugin list | grep Landing Page Builder• wordpress / plugin: Check for file inclusion attempts in WordPress access logs, looking for patterns like ../ or ../../ in the request URI.
• wordpress / plugin: Examine the Landing Page Builder plugin's code for instances of filegetcontents or similar functions that handle user-supplied input without proper sanitization.
disclosure
Estado del Exploit
EPSS
0.70% (72% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-43345 es actualizar el plugin Landing Page Builder a la versión 1.5.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede restringir el acceso al archivo vulnerable a través de un firewall de aplicaciones web (WAF) o configurando reglas de proxy para bloquear solicitudes sospechosas. Monitoree los logs del servidor en busca de intentos de inclusión de archivos no autorizados.
Actualice el plugin Landing Page Builder a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.5.2.0. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Landing Page Builder' para actualizarlo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-43345 is a Path Traversal vulnerability in the PluginOps Landing Page Builder plugin for WordPress, allowing attackers to potentially include arbitrary PHP files.
Yes, if you are using Landing Page Builder version 1.5.2.0 or earlier, you are affected by this vulnerability.
Upgrade the Landing Page Builder plugin to version 1.5.3 or later to remediate the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
As of the current date, there are no known public exploits or active campaigns targeting this vulnerability, but the HIGH CVSS score warrants immediate attention.
Refer to the PluginOps website or WordPress plugin repository for the official advisory and update information regarding CVE-2024-43345.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.