Plataforma
wordpress
Componente
file-manager-pro
Corregido en
8.3.8
El plugin File Manager Pro para WordPress presenta una vulnerabilidad de acceso arbitrario de archivos. Esta falla se debe a la falta de validación del tipo de archivo y comprobaciones de capacidades en la acción AJAX mkfilefolder_manager. Atacantes autenticados con privilegios de Suscriptor o superiores pueden explotar esta vulnerabilidad para subir archivos arbitrarios al servidor. Las versiones afectadas son todas las versiones hasta la 8.3.7 inclusive. Se recomienda actualizar el plugin a la última versión disponible.
La vulnerabilidad de acceso arbitrario de archivos en File Manager Pro permite a un atacante autenticado, con un nivel de acceso de Suscriptor o superior, subir archivos maliciosos al servidor web. Estos archivos podrían incluir scripts PHP, archivos de configuración o cualquier otro tipo de archivo que el atacante pueda utilizar para comprometer el sitio web. La ejecución de estos archivos podría resultar en la ejecución remota de código (RCE), permitiendo al atacante tomar el control del servidor, robar datos confidenciales o realizar otras acciones maliciosas. La capacidad de subir archivos arbitrarios también podría permitir la escalada de privilegios, permitiendo al atacante obtener acceso a áreas restringidas del sitio web o incluso a la base de datos. Este tipo de vulnerabilidad es similar a otras explotaciones de subida de archivos que han llevado a la toma de control completa de sitios web.
La vulnerabilidad CVE-2024-7559 fue publicada el 23 de agosto de 2024. Actualmente no se ha añadido a la lista KEV de CISA, pero la alta puntuación CVSS (8.8) indica una alta probabilidad de explotación. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (subida de archivos arbitrarios) la hace susceptible a la explotación. Se recomienda monitorear de cerca los sitios web que utilizan File Manager Pro para detectar cualquier actividad sospechosa.
WordPress websites utilizing the File Manager Pro plugin, particularly those with Subscriber-level users who have file upload privileges, are at risk. Shared hosting environments where WordPress installations are managed by the hosting provider are also at increased risk, as they may lack the ability to quickly apply security patches.
• wordpress / composer / npm:
grep -r "mk_file_folder_manager" /var/www/html/wp-content/plugins/file-manager-pro/• wordpress / composer / npm:
wp plugin list | grep "File Manager Pro"• wordpress / composer / npm:
wp plugin update file-manager-pro• generic web: Check WordPress plugin directory for updated versions of File Manager Pro.
disclosure
Estado del Exploit
EPSS
12.80% (94% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-7559 es actualizar el plugin File Manager Pro a la última versión disponible, que incluye la corrección de la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen restringir los permisos de escritura en el directorio de subidas del plugin, implementar un firewall de aplicaciones web (WAF) para bloquear intentos de subida de archivos maliciosos y revisar regularmente los archivos subidos en busca de contenido sospechoso. Además, se recomienda deshabilitar temporalmente la función mkfilefolder_manager si no es esencial. Después de la actualización, confirme que la vulnerabilidad ha sido corregida revisando los registros del servidor en busca de intentos de acceso no autorizados.
Actualice el plugin File Manager Pro a la última versión disponible. La vulnerabilidad permite la subida de archivos arbitrarios, lo que podría llevar a la ejecución remota de código. La actualización corrige la falta de validación de tipos de archivo y comprobaciones de capacidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-7559 is a vulnerability in the File Manager Pro WordPress plugin allowing authenticated users to upload arbitrary files, potentially leading to remote code execution. It affects versions up to 8.3.7 and has a CVSS score of 8.8 (HIGH).
You are affected if you are using the File Manager Pro plugin in WordPress and have a version equal to or less than 8.3.7. Check your plugin version and upgrade immediately if necessary.
The recommended fix is to upgrade the File Manager Pro plugin to a version higher than 8.3.7. If immediate upgrade is not possible, consider temporary workarounds like restricting file upload permissions.
As of August 23, 2024, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the File Manager Pro plugin website and WordPress plugin directory for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.