Plataforma
wordpress
Componente
dx-watermark
Corrigido em
1.0.5
Uma vulnerabilidade de CSRF (Cross-Site Request Forgery) foi descoberta no plugin DX-Watermark para WordPress. Essa falha permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, potencialmente comprometendo a integridade do site. A vulnerabilidade afeta versões do DX-Watermark anteriores ou iguais a 1.0.4, e uma correção foi lançada na versão 1.0.5.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute ações como modificar configurações, adicionar ou remover conteúdo, ou até mesmo obter acesso administrativo ao site WordPress, dependendo das permissões do usuário atacado. Um atacante pode criar um link malicioso ou incorporar código em um site controlado por ele, induzindo o usuário autenticado a executar ações indesejadas sem o seu conhecimento. O impacto pode variar desde a alteração de informações visíveis no site até a completa tomada de controle do mesmo, dependendo das permissões do usuário que for vítima do ataque.
A vulnerabilidade foi divulgada em 25 de abril de 2024. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração, portanto, a aplicação da correção é altamente recomendada.
Websites using the DX-Watermark plugin, particularly those with administrative users who frequently interact with the plugin's settings, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'dx_watermark_options' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/dx-watermark/ | grep Serverdisclosure
Status do Exploit
EPSS
0.11% (percentil 30%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin DX-Watermark para a versão 1.0.5 ou superior, que corrige a vulnerabilidade de CSRF. Enquanto a atualização não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as entradas de dados e a implementação de tokens CSRF em formulários críticos. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear solicitações CSRF também pode ajudar a mitigar o risco. Verifique se a configuração do plugin DX-Watermark não permite a execução de ações sensíveis sem a devida autenticação e autorização.
Atualize o plugin DX-Watermark para a última versão disponível. A atualização corrige a vulnerabilidade CSRF e XSS, prevenindo o upload de arquivos arbitrários e a execução de scripts maliciosos. Você pode atualizar diretamente do painel de administração do WordPress.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-30560 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the DX-Watermark WordPress plugin, allowing attackers to potentially execute malicious scripts.
You are affected if you are using DX-Watermark version 1.0.4 or earlier. Upgrade to 1.0.5 to mitigate the risk.
Upgrade the DX-Watermark plugin to version 1.0.5 or later. Consider a WAF as a temporary workaround if upgrading is not immediately possible.
There is currently no confirmed active exploitation, but the CRITICAL severity makes it a high-priority target.
Refer to the DX-Watermark plugin's official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.