Plataforma
wordpress
Componente
mp3-sticky-player
Corrigido em
8.0.1
O plugin MP3 Sticky Player para WordPress apresenta uma vulnerabilidade de Acesso Arbitrário de Arquivos. Essa falha permite que atacantes não autenticados leiam arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta todas as versões do plugin até, e incluindo, a versão 8.0. A versão corrigida foi lançada com o mesmo número da versão afetada.
Um atacante pode explorar essa vulnerabilidade para ler arquivos sensíveis no servidor, como arquivos de configuração, chaves de API, ou até mesmo código-fonte. O acesso a esses arquivos pode levar à divulgação de informações confidenciais, comprometimento do sistema, ou até mesmo execução remota de código, dependendo do conteúdo dos arquivos acessados. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o risco, tornando-a acessível a qualquer pessoa com acesso à internet.
A vulnerabilidade foi divulgada em 23 de novembro de 2024. Não há evidências de exploração ativa em campanhas direcionadas, mas a facilidade de exploração e a ausência de autenticação tornam a vulnerabilidade um alvo atraente para atacantes automatizados. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento.
WordPress websites utilizing the MP3 Sticky Player plugin, particularly those running versions prior to 8.0, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and server configurations. Sites that store sensitive data on the same server as the WordPress installation face a heightened risk of data exposure.
• wordpress / composer / npm:
wp plugin list | grep 'MP3 Sticky Player'• wordpress / composer / npm:
wp plugin update MP3 Sticky Player --version=8.0• generic web:
curl -I http://your-wordpress-site.com/wp-content/downloader.php?file=../../../../etc/passwd• generic web:
Check access logs for requests containing ../ sequences targeting downloader.php.
disclosure
Status do Exploit
EPSS
3.05% (percentil 87%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin MP3 Sticky Player para a versão 8.0, que contém a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de regras de firewall ou WAF. Monitore os logs do servidor em busca de tentativas de acesso não autorizado aos arquivos do plugin. Após a atualização, confirme a correção verificando se o arquivo 'downloader.php' não permite mais o acesso a arquivos arbitrários através de manipulação de parâmetros.
Actualice el plugin MP3 Sticky Player a la última versión disponible. Si no hay una versión más reciente disponible, considere desinstalar el plugin hasta que se publique una versión corregida. Consulte el sitio web del proveedor para obtener más información sobre la actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-10803 is a vulnerability in the MP3 Sticky Player WordPress plugin allowing unauthenticated attackers to read arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using the MP3 Sticky Player plugin in WordPress versions 8.0 or earlier. Upgrade to version 8.0 to resolve the issue.
Upgrade the MP3 Sticky Player plugin to version 8.0. As a temporary measure, restrict access to the downloader.php file using your web server configuration.
There is currently no confirmed active exploitation of CVE-2024-10803, but the ease of exploitation suggests a potential for future attacks.
Refer to the plugin developer's website or the WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.