Plataforma
wordpress
Componente
pluginpass-pro-plugintheme-licensing
Corregido en
0.9.11
Se ha identificado una vulnerabilidad de acceso arbitrario a archivos (Path Traversal) en PluginPass, un plugin para WordPress. Esta falla permite a un atacante manipular la entrada web para acceder a archivos sensibles en el sistema de archivos del servidor. La vulnerabilidad afecta a las versiones de PluginPass desde la versión inicial hasta la 0.9.10, y ha sido solucionada en la versión 0.9.11.
Un atacante que explote esta vulnerabilidad podría leer archivos confidenciales del servidor, incluyendo archivos de configuración, código fuente, o incluso archivos de bases de datos. La capacidad de acceder a archivos arbitrarios podría permitir la ejecución de código malicioso en el servidor, comprometiendo la integridad y confidencialidad de los datos. El impacto potencial es significativo, especialmente en entornos donde PluginPass se utiliza para gestionar información sensible o interactuar con otros sistemas.
La vulnerabilidad CVE-2024-54291 fue publicada el 28 de marzo de 2025. No se han reportado explotaciones activas en la naturaleza, pero la naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a ser explotada. Es importante implementar las mitigaciones recomendadas para reducir el riesgo de ataque.
WordPress websites using the PluginPass plugin, particularly those running versions 0.9.10 or earlier, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and file permissions. Websites with legacy PluginPass installations or those that haven't performed regular plugin updates are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/pluginpass/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/pluginpass/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep pluginpass• wordpress / composer / npm:
wp plugin update pluginpassdisclosure
Estado del Exploit
EPSS
0.24% (48% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar PluginPass a la versión 0.9.11 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio de instalación de PluginPass a través de un servidor web (WAF) o configurar reglas de firewall para bloquear el acceso a archivos sensibles. Además, se recomienda revisar los permisos de los archivos y directorios para asegurar que solo los usuarios autorizados tengan acceso.
Actualice el plugin PluginPass a la última versión disponible. La vulnerabilidad permite la descarga y eliminación arbitraria de archivos, por lo que es crucial actualizar lo antes posible. Consulte la página del plugin en el repositorio de WordPress para obtener la versión más reciente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-54291 is a HIGH severity vulnerability in PluginPass affecting versions up to 0.9.10. It allows attackers to read files on the server through path traversal.
You are affected if you are using PluginPass version 0.9.10 or earlier. Check your plugin version and update immediately.
Upgrade PluginPass to version 0.9.11 or later. If immediate upgrade is not possible, restrict file access permissions and implement WAF rules.
Currently, there are no confirmed active exploits, but the vulnerability's nature makes it a potential target.
Refer to the PluginPass project's official website or repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.