Plataforma
wordpress
Componente
ultimate-classified-listings
Corregido en
1.4.1
La vulnerabilidad CVE-2024-52448 es una falla de Path Traversal descubierta en el plugin Ultimate Classified Listings para WordPress. Esta falla permite a un atacante incluir archivos locales PHP, lo que podría resultar en la ejecución remota de código. Afecta a las versiones del plugin desde la versión no especificada hasta la 1.4. Se recomienda actualizar a la versión 1.4.1 para mitigar el riesgo.
Un atacante podría explotar esta vulnerabilidad para leer archivos sensibles en el servidor, incluyendo archivos de configuración, contraseñas y código fuente. La inclusión de archivos locales PHP permite la ejecución de código malicioso en el contexto del proceso del servidor web, lo que podría llevar al control completo del sitio web. Esta vulnerabilidad es similar a otras fallas de Path Traversal que han permitido el acceso no autorizado a sistemas críticos. El impacto potencial es significativo, pudiendo comprometer la confidencialidad, integridad y disponibilidad del sitio web y los datos asociados.
El CVE-2024-52448 fue publicado el 20 de noviembre de 2024. No se ha reportado su inclusión en el KEV de CISA. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a la explotación. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier actividad sospechosa.
WordPress websites utilizing the Ultimate Classified Listings plugin, particularly those running versions 1.4 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable, as are sites with outdated or unmanaged WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-classified-listings/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/ultimate-classified-listings/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.22% (44% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Ultimate Classified Listings a la versión 1.4.1 o superior. Si la actualización no es posible de inmediato, se recomienda restringir el acceso al directorio del plugin a través de un firewall de aplicaciones web (WAF) o reglas de proxy. Además, se pueden implementar medidas de seguridad adicionales, como la revisión de los permisos de los archivos y directorios del plugin para asegurar que solo el usuario web tenga acceso de lectura. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los intentos de acceder a archivos fuera del directorio del plugin sean bloqueados.
Actualice el plugin Ultimate Classified Listings a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de inclusión de archivos locales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-52448 is a Path Traversal vulnerability in the Ultimate Classified Listings WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Ultimate Classified Listings version 1.4 or earlier, you are affected by this vulnerability.
Upgrade to version 1.4.1 or later to remediate the vulnerability. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the WebCodingPlace website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.