Plataforma
wordpress
Componente
et-core-plugin
Corrigido em
5.3.9
Uma vulnerabilidade de Path Traversal foi descoberta no XStore Core, um plugin para WordPress. Essa falha permite a Inclusão de Arquivo Local (LFI) via PHP, possibilitando que um atacante acesse arquivos arbitrários no servidor. A vulnerabilidade afeta versões do XStore Core anteriores ou iguais a 5.3.8 e foi corrigida na versão 5.3.9.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos PHP arbitrários no servidor, potencialmente expondo informações confidenciais, como credenciais de banco de dados, chaves de API ou código-fonte. Um atacante pode usar essa vulnerabilidade para ler arquivos de configuração, obter acesso a informações sensíveis e, em alguns casos, até mesmo executar código malicioso no servidor. A gravidade da vulnerabilidade é alta devido ao potencial de acesso não autorizado a dados críticos e comprometimento do sistema.
A vulnerabilidade foi divulgada em 4 de junho de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
Websites using the XStore Core WordPress plugin, particularly those running older versions (≤5.3.8), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the patch. Sites with lax file upload permissions are especially susceptible.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xstore-core/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/xstore-core/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
1.66% (percentil 82%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o XStore Core para a versão 5.3.9 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Restrinja o acesso ao diretório do plugin através de permissões de arquivo adequadas. Implemente regras de firewall (WAF) para bloquear solicitações que tentem acessar arquivos fora do diretório esperado. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos. Após a atualização, confirme a correção executando testes de penetração ou utilizando ferramentas de varredura de vulnerabilidades.
Actualice el plugin XStore Core a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 5.3.8. Para actualizar, vaya al panel de administración de WordPress, luego a la sección de plugins y busque XStore Core. Si hay una actualización disponible, instálela inmediatamente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-33557 is a Path Traversal vulnerability affecting the XStore Core WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using XStore Core version 5.3.8 or earlier, you are vulnerable to this Path Traversal flaw.
Upgrade the XStore Core plugin to version 5.3.9 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a potential for rapid exploitation. Monitor your WordPress site closely.
Refer to the official XStore Core website and WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.