Plataforma
wordpress
Componente
globe-gateway-e4
Corregido en
2.0.1
Se ha identificado una vulnerabilidad de Path Traversal (acceso a archivos arbitrarios) en el componente Global Gateway e4 | Payeezy Gateway. Esta falla permite a un atacante acceder a archivos fuera del directorio previsto, potencialmente exponiendo información confidencial. La vulnerabilidad afecta a las versiones desde n/a hasta la 2.0, y se recomienda actualizar a la versión 2.0.1 para mitigar el riesgo.
La vulnerabilidad de Path Traversal en Global Gateway e4 | Payeezy Gateway permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos en el sistema de archivos del servidor. Esto podría incluir archivos de configuración, código fuente, archivos de registro o incluso archivos de datos sensibles. Un atacante podría utilizar esta vulnerabilidad para obtener información confidencial, modificar archivos del sistema o incluso ejecutar código malicioso en el servidor, dependiendo de los permisos del usuario bajo el cual se ejecuta la aplicación. La exposición de datos financieros o información de clientes podría resultar en graves consecuencias legales y de reputación.
La vulnerabilidad CVE-2024-52371 fue publicada el 14 de noviembre de 2024. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la publicación. La probabilidad de explotación se considera moderada, dado que las vulnerabilidades de Path Traversal son relativamente fáciles de explotar y a menudo son un objetivo para los atacantes.
WordPress websites utilizing the Global Gateway e4 | Payeezy Gateway plugin, particularly those running versions 2.0 or earlier, are at significant risk. Shared hosting environments where file permissions are not strictly controlled are also more vulnerable, as an attacker could potentially leverage this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/global-gateway-e4-payeezy-gateway/• generic web:
curl -I 'https://your-website.com/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.22% (44% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-52371 es actualizar Global Gateway e4 | Payeezy Gateway a la versión 2.0.1. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como restringir el acceso al servidor mediante un firewall y configurar reglas de WAF (Web Application Firewall) para bloquear solicitudes que contengan caracteres de path traversal (por ejemplo, '..'). Monitorear los registros del servidor en busca de patrones sospechosos de acceso a archivos también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme la mitigación verificando que las solicitudes de acceso a archivos fuera del directorio previsto sean bloqueadas.
Actualice el plugin Global Gateway e4 | Payeezy Gateway a una versión posterior a la 2.0. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-52371 is a HIGH severity vulnerability allowing attackers to read files on a server through path manipulation. It affects Global Gateway e4 | Payeezy Gateway versions up to 2.0.
If you are using Global Gateway e4 | Payeezy Gateway version 2.0 or earlier, you are potentially affected. Upgrade to 2.0.1 to mitigate the risk.
Upgrade to version 2.0.1 of the Global Gateway e4 | Payeezy Gateway plugin. If upgrading is not immediately possible, implement file access controls and WAF rules.
While no active exploitation is confirmed, the vulnerability's nature suggests it could be exploited once a proof-of-concept is released.
Refer to the vendor's official security advisory for the most up-to-date information and guidance: [DonnellC Security Advisory - Replace with actual link when available]
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.