Plataforma
wordpress
Componente
all-in-one-wp-migration
Corregido en
7.86.1
La vulnerabilidad CVE-2024-9162 afecta al plugin All-in-One WP Migration and Backup para WordPress. Esta falla de seguridad permite la inyección de código PHP debido a la falta de validación del tipo de archivo durante la exportación. Atacantes autenticados con privilegios de administrador pueden crear archivos de exportación con extensión .php, inyectando código PHP arbitrario, lo que podría resultar en la ejecución remota de código. La vulnerabilidad afecta a versiones del plugin 7.86 y anteriores.
La inyección de código PHP representa un riesgo significativo para sitios web que utilizan el plugin All-in-One WP Migration and Backup. Un atacante que explote esta vulnerabilidad podría ejecutar código malicioso en el servidor web, comprometiendo la integridad y confidencialidad de los datos. Esto podría incluir la modificación de archivos del sitio, la inserción de puertas traseras, el robo de información sensible (como credenciales de bases de datos o información de usuarios) e incluso el control total del servidor. La ejecución remota de código (RCE) permite al atacante realizar prácticamente cualquier acción que pueda realizar un usuario con privilegios de administrador, ampliando significativamente el radio de impacto. Esta vulnerabilidad comparte similitudes con otras vulnerabilidades de inyección de código, donde la falta de validación de entrada permite la ejecución de comandos no deseados.
CVE-2024-9162 fue publicado el 28 de octubre de 2024. Actualmente, no se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la inyección de código PHP la convierte en un objetivo atractivo para los atacantes. La disponibilidad de un proof-of-concept (POC) podría aumentar significativamente el riesgo de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
WordPress websites utilizing the All-in-One WP Migration and Backup plugin, particularly those with administrator accounts that are not adequately secured, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "php code injection" /var/www/html/wp-content/plugins/all-in-one-wp-migration/• wordpress / composer / npm:
wp plugin list --status=inactive | grep "all-in-one-wp-migration"• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type f -mtime +7 -printdisclosure
Estado del Exploit
EPSS
62.61% (98% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-9162 es actualizar el plugin All-in-One WP Migration and Backup a la última versión disponible. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al archivo de exportación para evitar que atacantes puedan crear archivos .php maliciosos. Implementar reglas en el servidor web (a través de .htaccess o configuración del servidor) para bloquear la ejecución de archivos PHP en el directorio de exportaciones puede ser una medida temporal. Monitorear los logs del servidor en busca de intentos de creación de archivos .php sospechosos también puede ayudar a detectar y prevenir ataques. Después de la actualización, verificar la integridad de los archivos del sitio web y revisar los logs del servidor para detectar cualquier actividad anómala.
Actualice el plugin All-in-One WP Migration and Backup a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la 7.87. La actualización corregirá la falta de validación de tipo de archivo durante la exportación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-9162 is a HIGH severity vulnerability in the All-in-One WP Migration plugin for WordPress, allowing attackers to inject PHP code via export files, potentially leading to remote code execution.
You are affected if you are using All-in-One WP Migration version 7.86 or earlier. Check your plugin version and upgrade immediately.
Upgrade the All-in-One WP Migration plugin to the latest available version. If upgrading is not possible, consider temporary workarounds like restricting file uploads.
While no confirmed active exploitation campaigns are currently known, the availability of public proof-of-concept exploits suggests a high likelihood of exploitation.
Refer to the official All-in-One WP Migration website and WordPress plugin repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.