Plataforma
wordpress
Componente
error-log-viewer-wp
Corrigido em
1.0.2
O plugin Error Log Viewer By WP Guru para WordPress apresenta uma vulnerabilidade de Acesso Arbitrário a Arquivos. Essa falha permite que atacantes não autenticados leiam o conteúdo de arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões até e incluindo 1.0.1.3. A correção foi publicada e a atualização é recomendada.
Um atacante pode explorar essa vulnerabilidade para ler arquivos sensíveis no servidor WordPress, como arquivos de configuração, chaves de API ou dados de usuários. O acesso a esses arquivos pode levar à divulgação de informações confidenciais, comprometimento da conta de administrador ou até mesmo à execução de código malicioso no servidor. A amplitude do impacto depende da sensibilidade dos arquivos acessíveis e das permissões do usuário do WordPress. A exploração bem-sucedida pode resultar em roubo de dados, modificação de arquivos e, em casos extremos, controle total do servidor.
A vulnerabilidade foi divulgada em 07 de janeiro de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração.
WordPress websites using the Error Log Viewer By WP Guru plugin, particularly those running versions prior to 1.0.1.3, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the exposure of data from other sites.
• wordpress / composer / npm:
grep -r 'wp_ajax_nopriv_elvwp_log_download' /var/www/html/wp-content/plugins/error-log-viewer-by-wp-guru/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=elvwp_log_download&file=/etc/passwd• wordpress / composer / npm:
wp plugin list | grep 'Error Log Viewer By WP Guru'disclosure
Status do Exploit
EPSS
92.98% (percentil 100%)
CISA SSVC
Vetor CVSS
A principal mitigação é atualizar o plugin Error Log Viewer By WP Guru para a versão corrigida, assim que estiver disponível. Enquanto a atualização não é possível, considere restringir o acesso ao diretório de logs do WordPress, alterando as permissões de arquivo para impedir o acesso não autorizado. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações maliciosas direcionadas à ação wpajaxnoprivelvwplog_download também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos.
Actualice el plugin Error Log Viewer By WP Guru a una versión posterior a la 1.0.1.3. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-12849 is a vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server running the Error Log Viewer By WP Guru plugin versions up to 1.0.1.3.
You are affected if you are using the Error Log Viewer By WP Guru plugin in WordPress and are running a version equal to or less than 1.0.1.3. Check your plugin version immediately.
Update the Error Log Viewer By WP Guru plugin to the latest available version. If immediate upgrade is not possible, restrict access to the vulnerable AJAX endpoint.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.