Plataforma
wordpress
Componente
wp-fastest-cache
Corregido en
1.2.7
El plugin WP Fastest Cache para WordPress presenta una vulnerabilidad de Acceso Arbitrario a Archivos en todas las versiones hasta la 1.2.6, incluyendo esta. Esta falla se encuentra en la función specificDeleteCache y permite a atacantes autenticados borrar archivos arbitrarios en el servidor. El impacto principal es la posible exposición de información sensible, como los archivos de configuración de WordPress (wp-config.php) o en entornos de alojamiento compartido, archivos de otros sitios.
Un atacante autenticado puede explotar esta vulnerabilidad para borrar archivos críticos en el servidor WordPress. Esto incluye, pero no se limita a, el archivo wp-config.php, que contiene información de conexión a la base de datos y claves de seguridad. La pérdida de este archivo puede resultar en la imposibilidad de acceder al sitio web y la exposición de datos sensibles. En entornos de alojamiento compartido, la vulnerabilidad podría permitir a un atacante acceder y modificar archivos de otros sitios alojados en el mismo servidor, ampliando significativamente el radio de impacto. La capacidad de borrar archivos arbitrarios también podría ser utilizada para realizar modificaciones maliciosas en el sitio web, como la inyección de código o la alteración de contenido.
Esta vulnerabilidad fue publicada el 23 de mayo de 2024. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (acceso arbitrario a archivos) la convierte en un objetivo atractivo para atacantes. La baja dificultad de explotación aumenta la probabilidad de que sea utilizada en el futuro. Se recomienda monitorear activamente los sistemas afectados.
WordPress websites using the WP Fastest Cache plugin, particularly those hosted on shared hosting environments, are at risk. Sites with weak user authentication or those that haven't implemented proper access controls are especially vulnerable. Legacy WordPress installations with outdated plugins are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep "WP Fastest Cache"• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r "specificDeleteCache" /var/www/html/wp-content/plugins/wp-fastest-cache/• generic web: Check WordPress plugin directory for updates and security advisories related to WP Fastest Cache.
disclosure
Estado del Exploit
EPSS
5.50% (90% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP Fastest Cache a una versión corregida. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la función specificDeleteCache mediante modificaciones en el código del plugin o a través de un plugin de seguridad que implemente controles de acceso más estrictos. Además, se puede considerar la implementación de reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a la función specificDeleteCache con parámetros maliciosos. Verifique después de la actualización que la función specificDeleteCache ya no sea accesible sin la debida autenticación y autorización.
Actualice el plugin WP Fastest Cache a la última versión disponible. La vulnerabilidad que permite el borrado arbitrario de archivos se ha corregido en versiones posteriores a la 1.2.6.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-4347 is a vulnerability in WP Fastest Cache versions up to 1.2.6 that allows authenticated attackers to delete arbitrary files on the server, potentially compromising the site or shared hosting environment.
You are affected if you are using WP Fastest Cache version 1.2.6 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the WP Fastest Cache plugin to a version newer than 1.2.6. If upgrading is not immediately possible, implement temporary mitigations like restricting file access permissions and using a WAF.
There is currently no confirmed active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the WP Fastest Cache official website and WordPress plugin directory for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.