Plataforma
wordpress
Componente
ekc-tournament-manager
Corregido en
2.2.2
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en EKC Tournament Manager, un plugin para WordPress. Esta falla permite a un atacante, bajo ciertas condiciones, subir un Web Shell al servidor web. La vulnerabilidad afecta a las versiones del plugin desde la versión desconocida hasta la 2.2.1. Se recomienda actualizar a la versión 2.2.2 para mitigar el riesgo.
La vulnerabilidad CSRF en EKC Tournament Manager permite a un atacante, mediante la manipulación de solicitudes HTTP, ejecutar acciones en nombre de un usuario autenticado sin su consentimiento. En este caso específico, la falla permite la subida de un Web Shell, un script malicioso que puede ser ejecutado en el servidor web. Esto podría resultar en la toma de control completa del servidor, robo de datos sensibles, modificación de contenido web y la ejecución de código arbitrario. La capacidad de subir un Web Shell representa un riesgo crítico, ya que otorga al atacante un punto de acceso persistente al sistema.
Esta vulnerabilidad ha sido publicada el 31 de octubre de 2024. No se ha reportado explotación activa en campañas conocidas, pero la severidad crítica (CVSS 9.6) indica un alto riesgo. La posibilidad de subir un Web Shell facilita la explotación, y la disponibilidad de herramientas automatizadas para la creación y despliegue de Web Shells aumenta la probabilidad de que sea explotada en el futuro. Se recomienda monitorizar activamente los sistemas afectados.
Websites utilizing EKC Tournament Manager, particularly those with limited security controls or shared hosting environments, are at significant risk. Sites with outdated plugin versions and those lacking robust input validation are especially vulnerable.
• wordpress / composer / npm:
grep -r 'EKC Tournament Manager' /var/www/html/
wp plugin list• generic web:
curl -I https://your-website.com/wp-content/plugins/ekc-tournament-manager/disclosure
Estado del Exploit
EPSS
0.12% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar EKC Tournament Manager a la versión 2.2.2 o superior, donde se ha corregido la falla. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas podrían incluir la restricción de acceso al panel de administración del plugin, la implementación de políticas de seguridad de contenido (CSP) para limitar la ejecución de scripts, y la monitorización de los logs del servidor en busca de actividades sospechosas. Después de la actualización, verificar la integridad del plugin y revisar los permisos de los archivos para asegurar que no haya sido comprometido.
Actualice el plugin EKC Tournament Manager a la última versión disponible. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una versión corregida. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-49674 is a critical Cross-Site Request Forgery (CSRF) vulnerability in EKC Tournament Manager allowing attackers to upload web shells. This grants them control over the web server.
You are affected if you are using EKC Tournament Manager versions 2.2.1 or earlier. Upgrade to 2.2.2 to resolve the vulnerability.
Upgrade EKC Tournament Manager to version 2.2.2 or later. If immediate upgrade is not possible, implement input validation and a Content Security Policy (CSP).
While no active exploitation campaigns have been confirmed, the critical severity and ease of exploitation suggest a high likelihood of exploitation attempts.
Refer to the official EKC Tournament Manager website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.