Plataforma
wordpress
Componente
boldgrid-backup
Corrigido em
1.15.9
A vulnerabilidade CVE-2024-24869, classificada como Path Traversal (Acesso Arbitrário a Arquivos), afeta o Total Upkeep, um plugin para WordPress. Essa falha permite que um atacante acesse arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. As versões afetadas são aquelas anteriores ou iguais a 1.15.8. A correção foi disponibilizada na versão 1.15.9.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante ler arquivos arbitrários no servidor onde o Total Upkeep está instalado. Isso pode incluir arquivos de configuração, arquivos de log, ou até mesmo arquivos de código-fonte, revelando informações sensíveis como credenciais de banco de dados, chaves de API, ou informações de usuários. Em um cenário de ataque, um invasor poderia usar essa vulnerabilidade para obter acesso não autorizado a dados confidenciais, comprometer a integridade do sistema, ou até mesmo executar código malicioso no servidor. A gravidade é amplificada se o servidor estiver hospedando outros sites ou aplicações, permitindo o potencial para movimento lateral dentro da infraestrutura.
A vulnerabilidade foi divulgada em 17 de maio de 2024. Não há informações disponíveis sobre exploração ativa ou adição ao KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público é desconhecida. Consulte o NVD (National Vulnerability Database) para atualizações sobre a exploração e o status do KEV.
WordPress websites utilizing BoldGrid Total Upkeep, particularly those with older versions (≤1.15.8) and less stringent security configurations, are at risk. Shared hosting environments where users have limited control over server permissions are also particularly vulnerable, as are systems with default or weak file access controls.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/total-upkeep/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/total-upkeep/../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Status do Exploit
EPSS
1.42% (percentil 81%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-24869 é atualizar o Total Upkeep para a versão 1.15.9 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como configurar um firewall de aplicação web (WAF) para bloquear solicitações maliciosas que tentam acessar arquivos fora do diretório esperado. Valide rigorosamente todas as entradas de usuário para evitar a injeção de caminhos maliciosos. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos. Não existe um rollback específico, a atualização é a solução recomendada.
Actualice el plugin Total Upkeep a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Total Upkeep' para actualizarlo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-24869 is a path traversal vulnerability in BoldGrid Total Upkeep allowing attackers to potentially access arbitrary files. It has a CVSS score of 7.5 (HIGH) and affects versions up to 1.15.8.
You are affected if you are using BoldGrid Total Upkeep version 1.15.8 or earlier. Upgrade to version 1.15.9 to resolve the vulnerability.
Upgrade BoldGrid Total Upkeep to version 1.15.9 or later. As a temporary workaround, restrict file access permissions and implement WAF rules to block path traversal attempts.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the BoldGrid security advisory for detailed information and updates: [https://boldgrid.com/security-advisories/]
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.