Plataforma
wordpress
Componente
smsa-shipping-official
Corregido en
2.3.1
2.4
La vulnerabilidad CVE-2024-49249 afecta al plugin SMSA Shipping (oficial) para WordPress. Se trata de un fallo de acceso a archivos arbitrarios debido a una validación insuficiente de la ruta del archivo. Esta deficiencia permite a atacantes autenticados, con privilegios de Suscriptor o superiores, borrar archivos en el servidor, lo que puede derivar en la ejecución remota de código (RCE). La vulnerabilidad afecta a todas las versiones hasta la 2.3, y se ha solucionado en la versión 2.4.
Un atacante con acceso autenticado (nivel Suscriptor o superior) puede explotar esta vulnerabilidad para borrar archivos arbitrarios en el servidor web. La consecuencia más grave es la ejecución remota de código (RCE) si se elimina un archivo crítico como wp-config.php. La pérdida de este archivo comprometería la configuración de WordPress, permitiendo al atacante tomar control total del sitio web. La capacidad de borrar archivos arbitrarios también puede ser utilizada para eliminar datos sensibles, interrumpir el servicio o modificar el contenido del sitio web, causando daños significativos a la reputación y la integridad de la información.
La vulnerabilidad CVE-2024-49249 ha sido publicada el 6 de enero de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) hasta el momento. La probabilidad de explotación se considera media, dado que requiere acceso autenticado, pero la facilidad de explotación y el potencial impacto (RCE) la hacen atractiva para atacantes. Se recomienda monitorear activamente los sistemas WordPress que utilicen el plugin SMSA Shipping.
WordPress websites using the SMSA Shipping plugin, particularly those with Subscriber-level users who have access to file management functionalities, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable.
• wordpress / composer / npm:
wp plugin list | grep smsa-shipping• wordpress / composer / npm:
wp plugin update smsa-shipping --version=2.4• wordpress / composer / npm:
grep -r 'delete_file' /var/www/html/wp-content/plugins/smsa-shipping/*• generic web: Check WordPress plugin directory for mentions of the vulnerability and potential exploit attempts.
disclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin SMSA Shipping a la versión 2.4 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas incluyen restringir los permisos del directorio del plugin para limitar el acceso de escritura, implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten acceder o modificar archivos sensibles, y revisar cuidadosamente los permisos de los usuarios de WordPress para evitar que usuarios con privilegios bajos puedan ejecutar acciones peligrosas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que la ruta del archivo se valida correctamente al intentar eliminar archivos.
Actualizar a la versión 2.4, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-49249 is a vulnerability in the SMSA Shipping WordPress plugin allowing authenticated users to delete files, potentially leading to remote code execution. It affects versions up to 2.3 and has a CVSS score of 8.1 (HIGH).
You are affected if you are using the SMSA Shipping plugin version 2.3 or earlier. Check your plugin version and upgrade immediately.
Upgrade the SMSA Shipping plugin to version 2.4 or later. If upgrading is not possible, restrict file access permissions and implement WAF rules.
Currently, there are no confirmed reports of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the official SMSA Shipping plugin website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.