Plataforma
wordpress
Componente
mipl-wc-multisite-sync
Corrigido em
1.1.6
A vulnerabilidade CVE-2024-12152 afeta o plugin MIPL WC Multisite Sync para WordPress, permitindo acesso arbitrário de arquivos. Essa falha permite que atacantes não autenticados leiam arquivos no servidor, potencialmente expondo informações sensíveis. Versões afetadas incluem todas as versões até e incluindo 1.1.5. A atualização para uma versão corrigida é a solução recomendada.
Um atacante explorando essa vulnerabilidade pode ler qualquer arquivo no servidor web ao qual o processo do WordPress tenha acesso. Isso inclui arquivos de configuração, arquivos de log, e potencialmente arquivos contendo credenciais de banco de dados ou chaves de API. A exposição desses arquivos pode levar ao roubo de informações confidenciais, comprometimento do servidor e acesso não autorizado a dados de clientes. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o risco, tornando-a acessível a qualquer pessoa com acesso à internet.
A vulnerabilidade foi divulgada em 07 de janeiro de 2025. Não há evidências de exploração ativa em campanhas conhecidas no momento. A vulnerabilidade está listada no NVD (National Vulnerability Database). A probabilidade de exploração é considerada média, devido à facilidade de exploração e à falta de autenticação necessária.
WordPress websites using the MIPL WC Multisite Sync plugin, particularly those with default or overly permissive file permissions, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'mipl_wc_sync_download_log' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mipl-wc-multisite-sync/mipl_wc_sync_download_log.php• wordpress / composer / npm:
wp plugin list | grep 'MIPL WC Multisite Sync'• wordpress / composer / npm:
wp plugin update --alldisclosure
Status do Exploit
EPSS
5.81% (percentil 90%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin MIPL WC Multisite Sync para uma versão corrigida, assim que disponível. Enquanto a atualização não estiver disponível, considere restringir o acesso ao diretório do plugin através de permissões de arquivo no servidor. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações que tentem acessar arquivos fora do diretório raiz do WordPress também pode ajudar. Monitore os logs do servidor para atividades suspeitas, como tentativas de acesso a arquivos inesperados.
Actualice el plugin MIPL WC Multisite Sync a la última versión disponible. La vulnerabilidad permite la descarga de archivos arbitrarios sin autenticación, por lo que es crucial actualizar para proteger la información sensible del servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-12152 is a vulnerability in the MIPL WC Multisite Sync WordPress plugin that allows unauthenticated attackers to read arbitrary files on the server, potentially exposing sensitive data.
You are affected if you are using the MIPL WC Multisite Sync plugin in a version equal to or less than 1.1.5.
Upgrade the MIPL WC Multisite Sync plugin to the latest available version as soon as a patch is released. Until then, restrict file permissions and implement WAF rules.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants caution.
Check the MIPL website and WordPress plugin repository for updates and advisories related to CVE-2024-12152.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.