Plataforma
wordpress
Componente
wp-hide-security-enhancer
Corrigido em
2.5.2
Uma vulnerabilidade de acesso arbitrário de arquivos foi descoberta no plugin WP Hide & Security Enhancer para WordPress. A falha, decorrente da falta de autorização e validação inadequada do caminho do arquivo em file-process.php, permite que atacantes não autenticados excluam o conteúdo de arquivos arbitrários no servidor. As versões afetadas são aquelas anteriores ou iguais a 2.5.1. A correção está disponível em versões mais recentes do plugin.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado delete o conteúdo de arquivos no servidor WordPress. Isso pode levar a uma variedade de consequências graves, incluindo a corrupção de arquivos de configuração críticos, a exclusão de dados sensíveis armazenados no servidor e, em casos extremos, a interrupção completa do site. A ausência de autenticação necessária para a exploração aumenta significativamente o risco, tornando o site vulnerável a ataques mesmo sem credenciais de login. A possibilidade de exclusão arbitrária de arquivos representa um risco significativo para a integridade e confidencialidade dos dados.
A vulnerabilidade foi divulgada em 6 de dezembro de 2024. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a facilidade de exploração sugere que a vulnerabilidade pode ser explorada em campanhas ativas. Consulte o aviso oficial do WordPress para obter mais informações.
Websites using the WP Hide & Security Enhancer plugin, particularly those running older versions (≤2.5.1), are at risk. Shared hosting environments are particularly vulnerable as they often have limited file permission controls, making it easier for attackers to exploit this vulnerability.
• wordpress / composer / npm:
grep -r 'file_process.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "WP Hide & Security Enhancer"• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-hide-security-enhancer/file-process.php?file=../../../../etc/passwddisclosure
Status do Exploit
EPSS
2.01% (percentil 84%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a atualização do plugin WP Hide & Security Enhancer para a versão mais recente, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin. Como medida adicional, implemente regras de firewall de aplicação web (WAF) para bloquear solicitações suspeitas que tentem acessar ou manipular o arquivo file-process.php. Monitore os logs do servidor WordPress em busca de tentativas de acesso não autorizado ou exclusão de arquivos. Após a atualização, verifique a integridade dos arquivos do WordPress e do plugin para garantir que não houve alterações maliciosas.
Actualice el plugin WP Hide & Security Enhancer a la última versión disponible. La vulnerabilidad que permite la eliminación de contenido de archivos arbitrarios sin autenticación se ha corregido en versiones posteriores a la 2.5.1.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-11585 is a vulnerability in the WP Hide & Security Enhancer plugin that allows unauthenticated attackers to delete arbitrary files on a WordPress server.
You are affected if you are using WP Hide & Security Enhancer version 2.5.1 or earlier. Check your plugin version and upgrade immediately.
Upgrade the WP Hide & Security Enhancer plugin to the latest available version. If upgrading is not immediately possible, restrict file access permissions and implement WAF rules.
There is currently no confirmed active exploitation, but the ease of exploitation suggests it could become a target.
Refer to the official WP Hide & Security Enhancer website and WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.