Plataforma
wordpress
Componente
fileorganizer
Corrigido em
1.1.5
Uma vulnerabilidade de Inclusão de Arquivo JavaScript Local (JSFI) foi descoberta no plugin FileOrganizer – Manage WordPress and Website Files para WordPress. Essa falha permite que atacantes autenticados, com privilégios de administrador ou superiores, incluam e executem arquivos JavaScript arbitrários no servidor. A vulnerabilidade afeta versões do plugin até e incluindo 1.1.4 e pode levar à execução de código malicioso.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado com acesso de administrador execute código JavaScript arbitrário no servidor WordPress. Isso pode resultar em diversas consequências graves, incluindo o roubo de informações confidenciais, a modificação de dados do site, a instalação de malware e o comprometimento completo do servidor. O atacante pode, por exemplo, injetar código para roubar credenciais de usuários, alterar o conteúdo do site ou redirecionar visitantes para sites maliciosos. A capacidade de executar código arbitrário no servidor representa um risco significativo para a integridade e a confidencialidade dos dados do site.
A vulnerabilidade CVE-2024-11010 foi divulgada em 7 de dezembro de 2024. Não há informações disponíveis sobre a adição a KEV ou sobre a existência de exploits públicos. A probabilidade de exploração é considerada média, devido à necessidade de acesso autenticado de administrador e à complexidade da exploração. É recomendável monitorar a situação e aplicar as medidas de mitigação o mais rápido possível.
WordPress websites utilizing the FileOrganizer plugin, particularly those with administrator accounts that have weak passwords or are otherwise vulnerable to compromise, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the exploitation of this vulnerability on other sites.
• wordpress / composer / npm:
grep -r 'default_lang' /var/www/html/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/• wordpress / composer / npm:
wp plugin list --status=all | grep fileorganizer• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/ | grep default_langdisclosure
Status do Exploit
EPSS
0.30% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin FileOrganizer para uma versão corrigida, assim que estiver disponível. Enquanto a atualização não estiver disponível, considere as seguintes medidas de mitigação: restrinja o acesso ao parâmetro 'defaultlang' para usuários não autenticados; implemente uma validação rigorosa de entrada para o parâmetro 'defaultlang', garantindo que ele contenha apenas caminhos de arquivo seguros; desative o upload de arquivos JavaScript, se possível; e monitore os logs do servidor em busca de atividades suspeitas relacionadas à inclusão de arquivos. Após a atualização, confirme a correção verificando se o parâmetro 'default_lang' não permite mais a inclusão de arquivos JavaScript arbitrários.
Actualice el plugin FileOrganizer a la última versión disponible. La vulnerabilidad permite la inclusión de archivos JavaScript locales, lo que podría comprometer la seguridad del sitio web.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-11010 is a vulnerability in the FileOrganizer WordPress plugin that allows authenticated administrators to include and execute arbitrary JavaScript files, potentially leading to data theft or code execution.
You are affected if you are using the FileOrganizer plugin version 1.1.4 or earlier. Check your plugin versions and update immediately.
Update the FileOrganizer plugin to the latest available version. If an upgrade is not immediately possible, consider restricting access to the 'default_lang' parameter.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation suggests it could become a target.
Refer to the plugin developer's website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.