MIPL WC Multisite Sync <= 1.1.5 - Download Arbitrário de Arquivo Sem Autenticação
Plataforma
wordpress
Componente
mipl-wc-multisite-sync
Corrigido em
1.1.6
A vulnerabilidade CVE-2024-12152 afeta o plugin MIPL WC Multisite Sync para WordPress, permitindo acesso arbitrário de arquivos. Essa falha permite que atacantes não autenticados leiam arquivos no servidor, potencialmente expondo informações sensíveis. Versões afetadas incluem todas as versões até e incluindo 1.1.5. A atualização para uma versão corrigida é a solução recomendada.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
Um atacante explorando essa vulnerabilidade pode ler qualquer arquivo no servidor web ao qual o processo do WordPress tenha acesso. Isso inclui arquivos de configuração, arquivos de log, e potencialmente arquivos contendo credenciais de banco de dados ou chaves de API. A exposição desses arquivos pode levar ao roubo de informações confidenciais, comprometimento do servidor e acesso não autorizado a dados de clientes. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o risco, tornando-a acessível a qualquer pessoa com acesso à internet.
Contexto de Exploração
A vulnerabilidade foi divulgada em 07 de janeiro de 2025. Não há evidências de exploração ativa em campanhas conhecidas no momento. A vulnerabilidade está listada no NVD (National Vulnerability Database). A probabilidade de exploração é considerada média, devido à facilidade de exploração e à falta de autenticação necessária.
Quem Está em Riscotraduzindo…
WordPress websites using the MIPL WC Multisite Sync plugin, particularly those with default or overly permissive file permissions, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable.
Passos de Detecçãotraduzindo…
• wordpress / composer / npm:
grep -r 'mipl_wc_sync_download_log' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mipl-wc-multisite-sync/mipl_wc_sync_download_log.php• wordpress / composer / npm:
wp plugin list | grep 'MIPL WC Multisite Sync'• wordpress / composer / npm:
wp plugin update --allLinha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
5.81% (percentil 90%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Nenhum — sem impacto na integridade.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Informações do pacote
- Instalações ativas
- 100Nicho
- Avaliação do plugin
- 4.4
- Requer WordPress
- 5.1+
- Compatível até
- 7.0
- Requer PHP
- 7.4+
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o plugin MIPL WC Multisite Sync para uma versão corrigida, assim que disponível. Enquanto a atualização não estiver disponível, considere restringir o acesso ao diretório do plugin através de permissões de arquivo no servidor. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações que tentem acessar arquivos fora do diretório raiz do WordPress também pode ajudar. Monitore os logs do servidor para atividades suspeitas, como tentativas de acesso a arquivos inesperados.
Como corrigirtraduzindo…
Actualice el plugin MIPL WC Multisite Sync a la última versión disponible. La vulnerabilidad permite la descarga de archivos arbitrarios sin autenticación, por lo que es crucial actualizar para proteger la información sensible del servidor.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2024-12152 — Arbitrary File Access in MIPL WC Multisite Sync?
CVE-2024-12152 is a vulnerability in the MIPL WC Multisite Sync WordPress plugin that allows unauthenticated attackers to read arbitrary files on the server, potentially exposing sensitive data.
Am I affected by CVE-2024-12152 in MIPL WC Multisite Sync?
You are affected if you are using the MIPL WC Multisite Sync plugin in a version equal to or less than 1.1.5.
How do I fix CVE-2024-12152 in MIPL WC Multisite Sync?
Upgrade the MIPL WC Multisite Sync plugin to the latest available version as soon as a patch is released. Until then, restrict file permissions and implement WAF rules.
Is CVE-2024-12152 being actively exploited?
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants caution.
Where can I find the official MIPL WC Multisite Sync advisory for CVE-2024-12152?
Check the MIPL website and WordPress plugin repository for updates and advisories related to CVE-2024-12152.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.