Plataforma
wordpress
Componente
time-clock
Corregido en
1.1.5
1.2.3
El plugin Time Clock y Time Clock Pro para WordPress son vulnerables a una ejecución remota de código (RCE) en versiones hasta la 1.2.2 (Time Clock) y 1.1.4 (Time Clock Pro). Esta vulnerabilidad reside en la función 'etimeclockwploadfunction_callback' y permite a atacantes no autenticados ejecutar código arbitrario en el servidor. Se recomienda actualizar a la última versión disponible para mitigar este riesgo.
La ejecución remota de código (RCE) representa un riesgo crítico, ya que un atacante puede tomar el control completo del servidor WordPress. Esto implica la capacidad de modificar archivos, instalar malware, robar datos sensibles (como credenciales de usuario, información de clientes o datos financieros) y utilizar el servidor comprometido como punto de partida para ataques a otros sistemas en la red. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el potencial de daño, ya que cualquier persona con acceso a Internet puede intentar explotarla. Un ataque exitoso podría resultar en la pérdida de datos, interrupción del servicio y daño a la reputación.
Esta vulnerabilidad ha sido publicada públicamente el 18 de octubre de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de esta redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE sin autenticación) sugiere un riesgo de explotación en el futuro cercano. Se recomienda monitorear activamente los registros del servidor y las alertas de seguridad.
WordPress websites using the Time Clock or Time Clock Pro plugins, particularly those running older, unpatched versions, are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates. Businesses relying on these plugins for time tracking and employee management are at risk of data compromise.
• wordpress / composer / npm:
grep -r 'etimeclockwp_load_function_callback' /var/www/html/wp-content/plugins/time-clock/• wordpress / composer / npm:
wp plugin list | grep 'Time Clock'• wordpress / composer / npm:
wp plugin update time-clock time-clock-pro• generic web:
Check WordPress plugin versions using wp plugin list and compare against affected versions (≤1.2.2 & ≤1.1.4).
disclosure
Estado del Exploit
EPSS
82.47% (99% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar los plugins Time Clock y Time Clock Pro a las versiones corregidas (posteriores a 1.2.2 y 1.1.4 respectivamente). Si la actualización no es inmediatamente posible, considere deshabilitar temporalmente los plugins para evitar la explotación. Como medida adicional, implemente reglas en su firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan patrones sospechosos relacionados con la función vulnerable. Revise los registros del servidor en busca de actividad inusual que pueda indicar un intento de explotación.
Actualice el plugin Time Clock a la última versión disponible. Esto solucionará la vulnerabilidad de ejecución remota de código.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-9593 is a Remote Code Execution vulnerability affecting the Time Clock and Time Clock Pro WordPress plugins, allowing attackers to execute code on the server without authentication.
You are affected if you are using Time Clock or Time Clock Pro versions 1.2.2 or earlier, or 1.1.4 or earlier, respectively. Check your plugin versions immediately.
Upgrade the Time Clock and Time Clock Pro plugins to the latest available versions. If upgrading is not immediately possible, disable the plugins temporarily.
While no confirmed active exploitation campaigns are known, the vulnerability's ease of exploitation makes it a likely target. Monitor your systems closely.
Refer to the plugin developer's website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.