Plataforma
wordpress
Componente
maxslider
Corregido en
1.2.4
La vulnerabilidad CVE-2024-47351 es una falla de Path Traversal descubierta en el plugin MaxSlider para WordPress. Esta falla permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo la confidencialidad de los datos. Afecta a las versiones del plugin MaxSlider anteriores o iguales a 1.2.3. Una actualización a la versión 1.2.4 resuelve esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para leer archivos sensibles en el servidor web, como archivos de configuración, contraseñas o código fuente. Esto podría resultar en la divulgación de información confidencial, la toma de control del sitio web o incluso el acceso al sistema subyacente. La severidad de esta vulnerabilidad radica en su potencial para comprometer la integridad y confidencialidad de los datos. Aunque no se han reportado explotaciones activas, la facilidad de explotación y la amplia base de usuarios de WordPress hacen que esta vulnerabilidad sea un objetivo atractivo para los atacantes.
Esta vulnerabilidad fue publicada el 16 de octubre de 2024. No se ha añadido a la lista KEV de CISA, pero su naturaleza de Path Traversal la hace susceptible a ataques automatizados. No se han reportado públicamente pruebas de concepto (PoC) sofisticadas, pero la vulnerabilidad es relativamente sencilla de explotar, lo que aumenta el riesgo de que sea utilizada en ataques. Se recomienda monitorear los registros del servidor en busca de actividad sospechosa.
WordPress websites utilizing the MaxSlider plugin, particularly those running older versions (≤1.2.3), are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may be less able to implement workarounds or monitor for suspicious activity. Sites with sensitive data stored on the same server are also at heightened risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/maxslider/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/maxslider/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep maxslider• wordpress / composer / npm:
wp plugin update maxsliderdisclosure
Estado del Exploit
EPSS
0.29% (53% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-47351 es actualizar el plugin MaxSlider a la versión 1.2.4 o superior. Si la actualización no es posible de inmediato, se recomienda implementar restricciones de acceso al directorio del plugin a través del servidor web (por ejemplo, configurando reglas en el servidor Apache o Nginx). Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio esperado. Verifique que los permisos de los archivos y directorios del plugin sean los más restrictivos posibles.
Actualiza el plugin MaxSlider a la última versión disponible. Si no hay una versión más reciente, considera deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Verifica que el plugin esté actualizado regularmente para evitar futuras vulnerabilidades.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-47351 is a Path Traversal vulnerability affecting the MaxSlider WordPress plugin, allowing attackers to read arbitrary files on the server.
You are affected if you are using MaxSlider version 1.2.3 or earlier. Upgrade to version 1.2.4 to resolve the vulnerability.
Upgrade the MaxSlider plugin to version 1.2.4 or later. Consider temporary workarounds like WAF rules and file access restrictions if immediate upgrade is not possible.
As of now, there are no known public exploits or active campaigns targeting CVE-2024-47351, but proactive patching is still recommended.
Refer to the CSSIgniter Team's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.