Plataforma
wordpress
Componente
wp-cookies-enabler
Corregido en
1.0.2
Se ha identificado una vulnerabilidad de Path Traversal en el plugin WP Cookies Enabler, permitiendo la inclusión de archivos locales PHP. Esta falla permite a un atacante potencialmente ejecutar código malicioso en el servidor. La vulnerabilidad afecta a las versiones del plugin WP Cookies Enabler anteriores o iguales a 1.0.1. Una actualización a la versión 1.0.2 resuelve este problema.
La vulnerabilidad de Path Traversal en WP Cookies Enabler permite a un atacante, mediante la manipulación de la ruta de archivo, acceder a archivos sensibles en el servidor web. Esto podría incluir archivos de configuración, código fuente de otras aplicaciones o incluso archivos del sistema operativo. Un atacante podría, por ejemplo, incluir el archivo php.ini para modificar la configuración de PHP, o incluir archivos de la base de datos para extraer información confidencial. La ejecución remota de código resultante podría llevar al control total del servidor web, comprometiendo todos los datos almacenados y alojados en él. Esta vulnerabilidad es particularmente preocupante debido a su relativa facilidad de explotación y el potencial de daño significativo.
Esta vulnerabilidad ha sido publicada públicamente el 16 de diciembre de 2024. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de un proof-of-concept (PoC) público podría facilitar la explotación por parte de actores maliciosos, por lo que se recomienda aplicar la mitigación lo antes posible.
Websites using the WP Cookies Enabler plugin, particularly those running older versions (≤1.0.1), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites with weak file access permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-cookies-enabler/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/wp-cookies-enabler/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.18% (40% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin WP Cookies Enabler a la versión 1.0.2 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede restringir el acceso al archivo vulnerable mediante la configuración de permisos de archivo en el servidor, aunque esto puede afectar la funcionalidad del plugin. Monitorear los logs del servidor en busca de intentos de acceso a archivos no autorizados también puede ayudar a detectar la explotación de esta vulnerabilidad.
Actualice el plugin WP Cookies Enabler a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-54380 is a Path Traversal vulnerability in WP Cookies Enabler allowing attackers to potentially include arbitrary files, leading to sensitive information disclosure or code execution.
Yes, if you are using WP Cookies Enabler version 1.0.1 or earlier, you are affected by this vulnerability.
Upgrade WP Cookies Enabler to version 1.0.2 or later. As a temporary workaround, restrict file access permissions and implement WAF rules.
While no active exploitation has been widely reported, the vulnerability is well-understood and the plugin's popularity makes it a potential target.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.