Plataforma
wordpress
Componente
file-manager-advanced-shortcode
Corrigido em
2.6.0
2.6.0
A vulnerabilidade CVE-2024-13914 afeta o plugin File Manager Advanced Shortcode para WordPress, permitindo a inclusão de arquivos locais (LFI). Atacantes autenticados com privilégios de administrador ou superiores podem explorar essa falha para incluir e executar arquivos JavaScript arbitrários no servidor. As versões afetadas são aquelas anteriores ou iguais a 2.5.6, com a correção disponível na versão 2.6.0.
A exploração bem-sucedida da vulnerabilidade LFI permite que um atacante autenticado execute código JavaScript arbitrário no servidor WordPress. Isso pode levar à exfiltração de dados confidenciais, como credenciais de usuários e informações de configuração do site. Além disso, o atacante pode usar essa vulnerabilidade para contornar controles de acesso e potencialmente obter controle total sobre o servidor, comprometendo a integridade e a confidencialidade dos dados. A capacidade de incluir arquivos JavaScript abre um caminho para a execução de código malicioso, similar a ataques XSS (Cross-Site Scripting) avançados, mas com maior impacto devido à capacidade de manipular o servidor.
A vulnerabilidade CVE-2024-13914 foi divulgada em 2025-05-15. Não há informações disponíveis sobre a inclusão em KEV (CISA Known Exploited Vulnerabilities) ou sobre a pontuação EPSS (Exploit Prediction Scoring System). Atualmente, não há provas públicas de um Proof of Concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade LFI a torna um alvo potencial para exploração futura.
WordPress sites utilizing the File Manager Advanced Shortcode plugin, particularly those with administrator accounts that have access to the file management functionality, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
wp plugin list | grep 'File Manager Advanced Shortcode'• wordpress / plugin: Check the plugin version. If it's <= 2.5.6, the system is vulnerable.
wp plugin list --status=active | grep 'File Manager Advanced Shortcode'• wordpress / plugin: Examine WordPress logs for suspicious file inclusion attempts involving the 'filemanageradvanced' shortcode.
grep 'file_manager_advanced' /var/log/apache2/error.log• wordpress / plugin: Review file upload directories for unexpected JavaScript files.
ls -l /path/to/wordpress/wp-content/uploads/disclosure
Status do Exploit
EPSS
0.71% (percentil 72%)
CISA SSVC
Vetor CVSS
A mitigação imediata para CVE-2024-13914 é atualizar o plugin File Manager Advanced Shortcode para a versão 2.6.0 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar o plugin até que uma solução alternativa seja implementada. Como medida adicional, implemente regras de firewall de aplicação web (WAF) para bloquear solicitações que tentem incluir arquivos não autorizados. Monitore os logs do servidor WordPress em busca de atividades suspeitas, como tentativas de acesso a arquivos sensíveis ou execução de código desconhecido.
Actualice el plugin File Manager Advanced Shortcode a la versión 2.6.0 o superior. Esta actualización corrige la vulnerabilidad de inclusión de archivos locales que permite la ejecución de código JavaScript arbitrario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-13914 is a Local File Inclusion vulnerability in the File Manager Advanced Shortcode WordPress plugin, allowing authenticated admins to execute JavaScript. It has a CVSS score of 7.2 (HIGH).
You are affected if you are using File Manager Advanced Shortcode version 2.5.6 or earlier. Upgrade to 2.6.0 to resolve the vulnerability.
Upgrade the File Manager Advanced Shortcode plugin to version 2.6.0 or later. If immediate upgrade is not possible, restrict administrator access to file management features.
While no active exploitation has been publicly confirmed, the vulnerability's nature makes it a likely target for attackers. Monitoring and mitigation are crucial.
Refer to the plugin developer's website or WordPress.org plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.