Plataforma
wordpress
Componente
wp-newsletter-subscription
Corregido en
1.1.1
Se ha identificado una vulnerabilidad de Path Traversal en el plugin WP Newsletter Subscription para WordPress. Esta falla permite a un atacante incluir archivos locales PHP, lo que podría resultar en la ejecución remota de código. La vulnerabilidad afecta a las versiones del plugin desde la versión desconocida hasta la 1.1. Se recomienda actualizar a la versión 1.1.1 para solucionar este problema.
La vulnerabilidad de Path Traversal en WP Newsletter Subscription permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos arbitrarios en el servidor. Esto incluye archivos de configuración sensibles, código fuente y otros datos confidenciales. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código malicioso en el servidor web, comprometiendo la integridad y confidencialidad de la aplicación WordPress y los datos asociados. La inclusión de archivos PHP permite la ejecución de código arbitrario, lo que amplía significativamente el potencial de daño.
La vulnerabilidad CVE-2024-44012 fue publicada el 5 de octubre de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (Path Traversal) la convierte en un objetivo atractivo para atacantes. No se ha añadido a KEV a la fecha. La disponibilidad de un PoC público podría aumentar el riesgo de explotación.
Websites using the WP Newsletter Subscription plugin, particularly those running older versions (≤1.1), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin configurations and security measures. Sites with weak file permissions or inadequate server-level security configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-newsletter-subscription/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-newsletter-subscription/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.30% (53% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin WP Newsletter Subscription a la versión 1.1.1 o posterior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al directorio del plugin a través de un servidor web o firewall. Además, se pueden implementar reglas de firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en las rutas de los archivos. Verifique que los permisos de los archivos y directorios del plugin sean los más restrictivos posibles para limitar el impacto de una posible explotación.
Actualice el plugin WP Newsletter Subscription a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Revise las configuraciones del plugin para asegurar que no haya opciones que permitan la inclusión de archivos locales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-44012 is a Path Traversal vulnerability in the WP Newsletter Subscription plugin that allows attackers to potentially include arbitrary files on the server, leading to sensitive data exposure or code execution.
You are affected if you are using WP Newsletter Subscription version 1.1 or earlier. Upgrade to version 1.1.1 to resolve the vulnerability.
Upgrade the WP Newsletter Subscription plugin to version 1.1.1 or later. As a temporary workaround, restrict access to the plugin directory using your web server configuration.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation makes it a potential target for attackers.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.