Plataforma
wordpress
Componente
instant-chat-wp
Corregido en
1.0.6
La vulnerabilidad CVE-2024-44018 es una falla de Path Traversal descubierta en el plugin Instant Chat Floating Button para WordPress Websites. Esta falla permite a un atacante incluir archivos PHP locales, comprometiendo potencialmente la confidencialidad y la integridad del sistema. Afecta a las versiones del plugin desde la versión n/a hasta la 1.0.5, y se ha solucionado en la versión 1.0.6.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el servidor web, incluyendo archivos de configuración sensibles, código fuente y otros datos confidenciales. La inclusión de archivos PHP locales permite la ejecución de código malicioso en el contexto del servidor web, lo que podría resultar en la toma de control completa del sitio WordPress. La severidad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial impacto en la seguridad del sitio web. Esta vulnerabilidad es similar a otras fallas de Path Traversal que han permitido el acceso no autorizado a sistemas críticos.
La vulnerabilidad CVE-2024-44018 fue publicada el 5 de octubre de 2024. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
WordPress websites utilizing the Instant Chat Floating Button plugin, particularly those running older versions (≤1.0.5), are at risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher density of potential targets.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/instant-chat-floating-button/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/instant-chat-floating-button/?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.30% (53% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-44018 es actualizar el plugin Instant Chat Floating Button a la versión 1.0.6 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede restringir el acceso al archivo vulnerable a través de reglas de firewall o proxy web, aunque esto puede afectar la funcionalidad del plugin. Monitorear los registros del servidor en busca de intentos de acceso a archivos no autorizados también puede ayudar a detectar y prevenir la explotación de esta vulnerabilidad. Después de la actualización, verifique que el archivo vulnerable ya no sea accesible a través de una solicitud HTTP directa.
Actualice el plugin Instant Chat WP a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte la página del plugin en WordPress.org para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-44018 is a Path Traversal vulnerability affecting the Instant Chat Floating Button plugin for WordPress, allowing attackers to potentially include arbitrary files.
You are affected if you are using Instant Chat Floating Button for WordPress Websites version 1.0.5 or earlier.
Upgrade the Instant Chat Floating Button plugin to version 1.0.6 or later. Consider temporary workarounds like restricting file access permissions and implementing WAF rules.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Check the Istmo Plugins website and WordPress plugin repository for updates and advisories related to CVE-2024-44018.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.