Plataforma
wordpress
Componente
post-grid-carousel-ultimate
Corrigido em
1.6.11
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no plugin Post Grid, Slider & Carousel Ultimate – with Shortcode, Gutenberg Block & Elementor Widget para WordPress. Essa falha permite que atacantes autenticados, com permissões de Contribuidor ou superiores, incluam e executem arquivos arbitrários no servidor, potencialmente comprometendo a segurança do site. As versões afetadas são aquelas anteriores ou iguais a 1.6.10. A correção foi publicada e a aplicação da atualização é a solução recomendada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado execute código PHP arbitrário no servidor WordPress. Isso pode levar a uma ampla gama de ataques, incluindo a exfiltração de dados sensíveis, a modificação de arquivos do sistema, a instalação de backdoors e, em última análise, o controle total do servidor. A capacidade de executar código arbitrário significa que o atacante pode efetivamente contornar as medidas de segurança existentes e comprometer a integridade e a confidencialidade dos dados armazenados no servidor. A vulnerabilidade é particularmente preocupante porque requer apenas permissões de Contribuidor, que são frequentemente concedidas a usuários com acesso limitado, tornando a exploração mais fácil e acessível.
A vulnerabilidade foi divulgada em 24 de janeiro de 2025. Não há evidências de exploração ativa em campanhas direcionadas no momento da publicação. A existência de um Proof of Concept (PoC) público aumenta o risco de exploração, pois facilita a identificação e a utilização da vulnerabilidade por atacantes. A vulnerabilidade não está listada no Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA até o momento.
WordPress websites utilizing the Post Grid, Slider & Carousel Ultimate plugin, particularly those with multiple contributors or users with elevated privileges (e.g., Editor, Administrator), are at risk. Shared hosting environments where plugin installations are managed centrally are also particularly vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'post_type_ajax_handler' /var/www/html/wp-content/plugins/post-grid-ultimate/• wordpress / composer / npm:
wp plugin list | grep 'Post Grid'• wordpress / composer / npm:
wp plugin active | grep 'Post Grid'• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/post-grid-ultimate/ | grep -i 'theme='disclosure
Status do Exploit
EPSS
0.36% (percentil 58%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Post Grid, Slider & Carousel Ultimate – with Shortcode, Gutenberg Block & Elementor Widget para a versão mais recente, que corrige a falha de Inclusão de Arquivo Local. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao arquivo vulnerável através de regras de firewall (WAF) ou proxy. Além disso, revise as permissões de usuário no WordPress para garantir que apenas usuários confiáveis tenham acesso de Contribuidor ou superior. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de acesso a arquivos inesperados.
Actualice el plugin Post Grid, Slider & Carousel Ultimate a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) ha sido corregida en versiones posteriores a la 1.6.10. Esto evitará que atacantes autenticados con nivel de contribuidor o superior puedan ejecutar archivos arbitrarios en el servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-13409 is a Local File Inclusion vulnerability in the Post Grid WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Post Grid plugin versions 1.6.10 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Post Grid plugin to a version greater than 1.6.10. Consider WAF rules as a temporary mitigation if upgrading is not immediately possible.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests it could be targeted soon.
Refer to the Post Grid plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.