Plataforma
wordpress
Componente
classic-addons-wpbakery-page-builder-addons
Corregido en
3.0.1
La vulnerabilidad CVE-2024-56286 es una falla de Path Traversal descubierta en el plugin Classic Addons para WPBakery Page Builder. Esta falla permite a un atacante incluir archivos locales PHP, lo que podría resultar en la ejecución remota de código. Afecta a las versiones del plugin desde la versión desconocida hasta la 3.0, siendo resuelta en la versión 3.0.1.
Un atacante podría explotar esta vulnerabilidad para leer archivos sensibles en el servidor, incluyendo archivos de configuración, contraseñas y código fuente. La inclusión de archivos locales PHP permite la ejecución de código malicioso en el contexto del servidor web, lo que podría resultar en la toma de control completa del sitio web. Esta vulnerabilidad es particularmente peligrosa en entornos de alojamiento compartido donde un atacante podría acceder a archivos de otros sitios web en el mismo servidor. La ejecución de código arbitrario permite la modificación de la base de datos, la inyección de malware y el robo de información confidencial.
La vulnerabilidad CVE-2024-56286 fue publicada el 7 de enero de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la publicación. La naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a la explotación automatizada, por lo que se recomienda monitorear los sistemas afectados.
WordPress websites utilizing the Classic Addons – WPBakery Page Builder plugin, particularly those running versions 3.0 or earlier, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security. Websites with weak file access permissions are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/classic-addons-wpbakery-page-builder/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/classic-addons-wpbakery-page-builder/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.22% (44% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Classic Addons a la versión 3.0.1 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al archivo vulnerable a través de un firewall de aplicaciones web (WAF) o configurando reglas de proxy para bloquear solicitudes sospechosas. Además, se debe revisar la configuración del servidor web para asegurar que la directiva open_basedir esté correctamente configurada para limitar el acceso a los archivos del sistema. Verifique que el plugin no tenga permisos de escritura innecesarios.
Actualice el plugin Classic Addons – WPBakery Page Builder a una versión posterior a la 3.0. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una versión corregida. Revise las notas de la versión actualizada para confirmar que la vulnerabilidad ha sido solucionada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-56286 is a Path Traversal vulnerability in Classic Addons – WPBakery Page Builder allowing PHP Local File Inclusion, potentially leading to code execution.
Yes, if you are using Classic Addons – WPBakery Page Builder version 3.0 or earlier, you are affected by this vulnerability.
Upgrade to version 3.0.1 or later to resolve the vulnerability. If immediate upgrade isn't possible, implement temporary restrictions.
Currently, there are no confirmed active exploitation campaigns, but the vulnerability's nature suggests a potential for future exploitation.
Refer to the official Classic Addons website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.