Plataforma
wordpress
Componente
file-manager-advanced
Corregido en
5.2.9
La vulnerabilidad CVE-2024-8704 afecta al plugin Advanced File Manager para WordPress, permitiendo una Inclusión de Archivos JavaScript (JSFI) a través del parámetro 'fma_locale'. Esta falla permite a atacantes autenticados con privilegios de Administrador o superiores incluir y ejecutar archivos PHP arbitrarios en el servidor. Las versiones afectadas son aquellas iguales o inferiores a 5.2.8. Se recomienda actualizar a la última versión disponible para mitigar el riesgo.
La explotación exitosa de CVE-2024-8704 permite a un atacante autenticado con privilegios de administrador ejecutar código PHP arbitrario en el servidor WordPress. Esto significa que el atacante puede potencialmente obtener acceso a información sensible almacenada en el servidor, modificar archivos del sitio web, instalar puertas traseras (backdoors) o incluso tomar el control completo del servidor. La capacidad de ejecutar código arbitrario representa un riesgo significativo para la confidencialidad, integridad y disponibilidad del sitio web y sus datos. La vulnerabilidad se aprovecha a través de la manipulación del parámetro 'fma_locale', lo que facilita la inclusión de archivos maliciosos.
CVE-2024-8704 ha sido publicado recientemente (2024-09-26) y su probabilidad de explotación se considera media debido a la necesidad de autenticación y privilegios de administrador. Actualmente no se conocen públicamente exploits o campañas activas dirigidas a esta vulnerabilidad, pero la disponibilidad de la información sobre la vulnerabilidad aumenta el riesgo de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
WordPress websites utilizing the Advanced File Manager plugin, particularly those with administrator accounts that have not been secured with strong passwords or multi-factor authentication, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'fma_locale' /var/www/html/wp-content/plugins/advanced-file-manager/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/advanced-file-manager/?fma_locale=../../../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.49% (66% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-8704 es actualizar el plugin Advanced File Manager a la última versión disponible, que corrige la vulnerabilidad de inclusión de archivos. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede restringir el acceso al parámetro 'fma_locale' mediante reglas de firewall o proxy, aunque esto puede afectar la funcionalidad del plugin. Monitorear los registros del servidor en busca de intentos de inclusión de archivos sospechosos también puede ayudar a detectar y prevenir ataques.
Actualice el plugin Advanced File Manager a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la inclusión de archivos JavaScript locales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-8704 is a Local File Inclusion vulnerability in the Advanced File Manager plugin for WordPress versions up to 5.2.8, allowing authenticated admins to execute arbitrary PHP code.
You are affected if you are using the Advanced File Manager plugin for WordPress in version 5.2.8 or earlier and have administrator-level access.
Upgrade the Advanced File Manager plugin to a patched version. If upgrading is not immediately possible, restrict file upload permissions and consider a WAF.
While there are no confirmed active campaigns, the availability of a public proof-of-concept increases the risk of exploitation.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.