Platform
wordpress
Component
makestories-helper
Opgelost in
3.0.4
CVE-2024-38746 beschrijft een 'Path Traversal' kwetsbaarheid, resulterend in een Server Side Request Forgery (SSRF) in de MakeStories plugin voor Google Web Stories. Deze kwetsbaarheid stelt een aanvaller in staat om, door middel van padtraversering, toegang te krijgen tot interne bronnen die anders niet toegankelijk zouden zijn. De kwetsbaarheid treft versies van MakeStories tot en met 3.0.3. Een fix is beschikbaar in versie 3.0.4.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services en bronnen benaderen die achter de webserver verborgen zijn, zoals databases, interne API's of andere gevoelige systemen. Dit kan leiden tot data-exfiltratie, configuratie-wijzigingen of zelfs volledige controle over het getroffen systeem. De impact is vergelijkbaar met andere SSRF-aanvallen, waarbij de aanvaller de server misbruikt om verzoeken uit te voeren alsof ze afkomstig zijn van de server zelf. De mogelijkheid tot laterale beweging is afhankelijk van de interne architectuur en de privileges van de webserver.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen informatie over actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar de SSRF-natuur ervan maakt het een aantrekkelijk doelwit voor automatische scanners. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en de CISA KEV catalogus. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven.
Websites utilizing MakeStories for Google Web Stories, particularly those running versions prior to 3.0.4, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites that rely on MakeStories to integrate with internal or external APIs are also at higher risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/makestories/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/makestories/some-file.php?url=../sensitive-file• wordpress / composer / npm:
wp plugin list --status=active | grep makestoriesdisclosure
Exploit Status
EPSS
0.79% (74% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de MakeStories plugin naar versie 3.0.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van Web Application Firewall (WAF) regels die pogingen tot padtraversering blokkeren. Controleer de WordPress-configuratie op onnodige privileges die de impact van een succesvolle exploitatie kunnen vergroten. Het monitoren van de toegangspogingen tot interne bronnen kan helpen bij het detecteren van verdachte activiteiten. Na de upgrade, controleer de logs op ongebruikelijke verzoeken om te bevestigen dat de kwetsbaarheid is verholpen.
Actualice el plugin MakeStories (for Google Web Stories) a una versión posterior a la 3.0.3. Esto solucionará las vulnerabilidades de Path Traversal y Server Side Request Forgery. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-38746 is a Server-Side Request Forgery vulnerability affecting MakeStories versions up to 3.0.3, allowing attackers to make unauthorized requests. It has a CVSS score of 7.1 (HIGH).
Yes, if you are using MakeStories (for Google Web Stories) version 3.0.3 or earlier, you are vulnerable to this SSRF vulnerability.
Upgrade MakeStories to version 3.0.4 or later to resolve the vulnerability. Consider implementing WAF rules as a temporary workaround if immediate upgrade is not possible.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a potential for active campaigns. Monitoring is advised.
Refer to the MakeStories official website and WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.