Plataforma
wordpress
Componente
users-control
Corregido en
1.0.17
Se ha identificado una vulnerabilidad de Path Traversal en Users Control, permitiendo la inclusión de archivos locales PHP. Esta falla permite a un atacante acceder a archivos sensibles en el servidor, potencialmente ejecutando código malicioso. La vulnerabilidad afecta a las versiones de Users Control desde la versión n/a hasta la 1.0.16, siendo corregida en la versión 1.0.17.
La vulnerabilidad de Path Traversal en Users Control representa un riesgo significativo para la seguridad de los sistemas WordPress que lo utilizan. Un atacante puede explotar esta falla para incluir archivos arbitrarios en el servidor, lo que podría resultar en la ejecución remota de código (RCE). Esto significa que un atacante podría tomar control del servidor, robar datos confidenciales, o incluso utilizar el servidor como punto de partida para atacar otros sistemas en la red. La inclusión de archivos locales PHP permite el acceso a configuraciones sensibles, contraseñas, y otros datos críticos almacenados en el servidor.
La vulnerabilidad CVE-2024-44015 fue publicada el 5 de octubre de 2024. No se ha añadido a KEV hasta el momento. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a explotación. Se recomienda monitorear los registros del servidor en busca de actividad sospechosa.
WordPress websites using the Users Control plugin, particularly those running versions prior to 1.0.17, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server file permissions and configurations, making exploitation easier.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/users-control/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/users-control/../../../../etc/passwd | head -n 1disclosure
Estado del Exploit
EPSS
0.30% (53% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para la vulnerabilidad CVE-2024-44015 es actualizar Users Control a la versión 1.0.17 o superior, donde la falla ha sido corregida. Si la actualización no es posible de inmediato, se recomienda restringir el acceso al directorio de Users Control a través de permisos de archivo y directorio. Además, se puede implementar un Web Application Firewall (WAF) con reglas para bloquear solicitudes que contengan caracteres de path traversal (por ejemplo, '..'). Verifique que la configuración de PHP tenga habilitada la directiva 'open_basedir' para limitar el acceso a archivos fuera del directorio web.
Actualiza el plugin Users Control a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.0.16. Verifica que la versión actualizada esté instalada correctamente en tu sitio de WordPress.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-44015 is a Path Traversal vulnerability in the Users Control WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using Users Control version 1.0.16 or earlier. Upgrade to version 1.0.17 to resolve the vulnerability.
Upgrade the Users Control plugin to version 1.0.17 or later. Consider temporary workarounds like WAF rules and restricted file permissions if immediate upgrade isn't possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Check the Users Control plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.