Plataforma
wordpress
Componente
vmax-project-manager
Corregido en
1.0.1
La vulnerabilidad CVE-2024-44014 es una falla de Path Traversal que permite la Ejecución Remota de Código (RCE) en Vmax Project Manager. Esta falla permite la inclusión de archivos locales y la inyección de código PHP, lo que podría resultar en la toma de control del sistema. Afecta a las versiones de Vmax Project Manager desde la versión desconocida hasta la 1.0. La vulnerabilidad ha sido solucionada en la versión 1.0.1.
Un atacante puede explotar esta vulnerabilidad para leer archivos confidenciales del servidor, modificar archivos existentes o incluso ejecutar código malicioso arbitrario. La inclusión de archivos locales permite al atacante acceder a información sensible almacenada en el sistema, como contraseñas, claves de API o datos de usuarios. La inyección de código PHP permite al atacante ejecutar comandos del sistema operativo, lo que podría resultar en la toma de control completa del servidor. La severidad crítica de esta vulnerabilidad indica un alto riesgo de explotación y un impacto potencialmente devastador para las organizaciones afectadas.
La vulnerabilidad CVE-2024-44014 fue publicada el 5 de octubre de 2024. Actualmente no se dispone de información sobre campañas de explotación activas o la inclusión de esta vulnerabilidad en el KEV de CISA. Sin embargo, dada la severidad crítica de la vulnerabilidad y la facilidad de explotación, es probable que sea objeto de ataques en el futuro cercano. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa.
Websites utilizing the Vmax Project Manager plugin, particularly those running older versions (≤1.0), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin configurations and security settings. WordPress installations with default or weak security configurations are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/vmax-project-manager/• wordpress / composer / npm:
wp plugin list | grep vmax-project-manager• generic web: Check for unusual file access attempts in web server logs (e.g., access.log, error.log) targeting files outside the intended plugin directory. • generic web: Monitor WordPress plugin update logs for any suspicious activity related to the Vmax Project Manager plugin.
disclosure
Estado del Exploit
EPSS
0.25% (48% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-44014 es actualizar Vmax Project Manager a la versión 1.0.1 o superior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como restringir el acceso al archivo vulnerable a través de un firewall o un proxy inverso. También se recomienda revisar los permisos de los archivos y directorios del servidor para asegurarse de que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, confirme la corrección ejecutando una prueba de penetración o utilizando una herramienta de escaneo de vulnerabilidades para verificar que la vulnerabilidad ha sido eliminada.
Actualice el plugin Vmax Project Manager a una versión posterior a la 1.0. Si no hay una versión disponible, considere desinstalar el plugin hasta que se publique una versión corregida. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-44014 es una vulnerabilidad de Ejecución Remota de Código (RCE) en Vmax Project Manager que permite la inclusión de archivos locales y la inyección de código PHP debido a una falla de Path Traversal.
Si está utilizando Vmax Project Manager en una versión inferior a 1.0.1, es vulnerable a esta vulnerabilidad. Verifique su versión y actualice inmediatamente.
La solución es actualizar Vmax Project Manager a la versión 1.0.1 o superior. Si no puede actualizar, considere implementar medidas de seguridad adicionales como restricciones de acceso.
Actualmente no hay informes de explotación activa, pero debido a su severidad, es probable que sea objeto de ataques en el futuro.
Consulte el sitio web oficial de Vmax Project Manager o los canales de comunicación del proveedor para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.