Plataforma
wordpress
Componente
epoll-wp-voting
Corrigido em
3.1.1
Uma vulnerabilidade de acesso arbitrário a arquivos (Path Traversal) foi descoberta no plugin WP Poll Maker, desenvolvido pela InfoTheme. Essa falha permite que atacantes acessem arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin WP Poll Maker anteriores ou iguais a 3.1. Uma correção foi lançada na versão 3.1.1.
A vulnerabilidade de Path Traversal no WP Poll Maker permite que um atacante explore a falta de validação adequada de caminhos de arquivo. Ao manipular a entrada do usuário, um atacante pode construir caminhos que escapam do diretório pretendido, permitindo o acesso a arquivos fora do escopo esperado. Isso pode levar à exposição de arquivos de configuração, código-fonte, dados do usuário ou outros arquivos sensíveis armazenados no servidor web. Em um cenário de ataque bem-sucedido, um invasor poderia ler arquivos de log contendo credenciais, obter informações sobre a infraestrutura do servidor ou até mesmo executar código malicioso se arquivos executáveis forem acessíveis.
A vulnerabilidade CVE-2024-31240 foi divulgada em 10 de abril de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress websites utilizing the WP Poll Maker plugin, particularly those running versions 3.1 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable. Sites with sensitive data stored in accessible locations on the server face the highest risk.
• wordpress / composer / npm:
wp plugin list | grep Poll Maker• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-poll-maker/*• generic web: Check WordPress plugin directory for unauthorized modifications or unexpected files.
disclosure
Status do Exploit
EPSS
0.31% (percentil 54%)
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2024-31240 é atualizar o plugin WP Poll Maker para a versão 3.1.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões do servidor ou configurar um Web Application Firewall (WAF) para bloquear solicitações maliciosas que tentem acessar arquivos fora do diretório esperado. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos e implemente regras de detecção para identificar padrões de ataque de Path Traversal.
Actualice el plugin WP Poll Maker a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-31240 is a HIGH severity vulnerability in WP Poll Maker allowing attackers to read files outside of intended directories. It affects versions up to 3.1.
Yes, if you are using WP Poll Maker version 3.1 or earlier, you are vulnerable to this Arbitrary File Access issue.
Upgrade WP Poll Maker to version 3.1.1 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the InfoTheme website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.