Plataforma
wordpress
Componente
favicon-generator
Corregido en
1.5.1
El plugin Favicon Generator para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en versiones hasta la 1.5. Esta falla permite a atacantes no autenticados eliminar archivos arbitrarios del servidor si logran engañar a un administrador del sitio para que realice una acción. Debido a la gravedad de esta vulnerabilidad, el autor del plugin ha eliminado la funcionalidad y cerrado el plugin.
Un atacante podría explotar esta vulnerabilidad para borrar archivos críticos del servidor WordPress, incluyendo archivos de configuración, archivos del núcleo de WordPress o incluso archivos de otros plugins. Esto podría resultar en la denegación de servicio, la pérdida de datos o incluso la toma de control del servidor. La naturaleza de CSRF significa que el atacante no necesita credenciales para explotar la vulnerabilidad, solo la capacidad de engañar a un administrador para que visite una URL maliciosa. La eliminación de archivos críticos podría comprometer la integridad y disponibilidad del sitio web.
Esta vulnerabilidad se publicó el 24 de agosto de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace inherentemente explotable. La alta puntuación CVSS indica un riesgo significativo. No se ha añadido a KEV al momento de la redacción.
WordPress sites using the Favicon Generator plugin, particularly those with administrative users who may be susceptible to social engineering attacks. Shared hosting environments are at increased risk, as a compromised site can potentially impact other users on the same server.
• wordpress / composer / npm:
grep -r "output_sub_admin_page_0" /var/www/html/wp-content/plugins/favicon-generator/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=favicon-generator-settings&action=delete_file # Check for lack of CSRF protectiondisclosure
Estado del Exploit
EPSS
0.43% (63% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es desinstalar y eliminar el plugin Favicon Generator, ya que el autor ha cerrado el plugin. Si necesita funcionalidad de generación de favicon, busque una alternativa de un desarrollador de confianza. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes CSRF dirigidas a la función outputsubadminpage0. Además, asegúrese de que todos los administradores del sitio estén conscientes de los riesgos de CSRF y eviten hacer clic en enlaces sospechosos.
Este plugin ha sido descontinuado por el autor. Se recomienda buscar un plugin alternativo para la gestión de favicons.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-7568 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Favicon Generator para WordPress, permitiendo la eliminación de archivos arbitrarios.
Si está utilizando el plugin Favicon Generator en versiones hasta la 1.5, es vulnerable. Se recomienda desinstalar el plugin.
La solución es desinstalar y eliminar el plugin Favicon Generator, ya que el autor lo ha cerrado. Busque una alternativa de un desarrollador de confianza.
No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace inherentemente explotable.
Dado que el plugin ha sido cerrado, no hay una advisory oficial. Consulte el informe de vulnerabilidad en la base de datos de CVE para obtener más información.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.