Plataforma
wordpress
Componente
wp-file-checker
Corrigido em
0.6.1
A vulnerabilidade CVE-2024-35743 é classificada como Path Traversal (Acesso Arbitrário a Arquivos) no SC filechecker, um componente do WordPress. Essa falha permite que atacantes manipulem arquivos no sistema, potencialmente expondo informações confidenciais. Versões do SC filechecker anteriores ou iguais a 0.6 são afetadas. A correção está disponível na versão 0.6.1.
Um atacante que explorar com sucesso essa vulnerabilidade pode ler arquivos arbitrários no sistema de arquivos do servidor WordPress. Isso inclui arquivos de configuração, dados de usuários e outros arquivos sensíveis. A manipulação de arquivos pode permitir a obtenção de credenciais, informações de identificação pessoal (PII) ou até mesmo a execução de código malicioso no servidor, dependendo das permissões do usuário sob o qual o SC filechecker está sendo executado. A gravidade do impacto é alta, pois a exploração bem-sucedida pode levar a uma violação significativa da confidencialidade e integridade dos dados.
A vulnerabilidade foi divulgada em 10 de junho de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. Consulte o NVD (National Vulnerability Database) para obter informações atualizadas sobre o status da vulnerabilidade.
WordPress websites using the SC filechecker plugin, particularly those running versions prior to 0.6.1, are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with misconfigured file permissions are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/sc-filechecker/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/sc-filechecker/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.17% (percentil 39%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-35743 é atualizar o SC filechecker para a versão 0.6.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do SC filechecker através de permissões de arquivo adequadas. Implementar regras de firewall ou WAF (Web Application Firewall) para bloquear solicitações que contenham caracteres de path traversal (por exemplo, '..') também pode ajudar a mitigar o risco. Verifique se as permissões de arquivo do SC filechecker estão configuradas corretamente para evitar a escrita não autorizada.
Actualice el plugin SC filechecker a una versión posterior a la 0.6. Si no hay una versión disponible, considere desinstalar el plugin hasta que se publique una versión corregida. Esto evitará la eliminación arbitraria de archivos en su servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-35743 is a HIGH severity vulnerability allowing attackers to manipulate files via path traversal in SC filechecker versions up to 0.6, potentially leading to server compromise.
You are affected if you are using SC filechecker versions prior to 0.6.1. Check your plugin version and upgrade immediately if necessary.
Upgrade SC filechecker to version 0.6.1 or later to resolve this vulnerability. Consider implementing file access controls as an additional precaution.
Currently, there are no known active exploits targeting CVE-2024-35743, but it's crucial to apply the patch promptly to prevent future exploitation.
Refer to the official SC filechecker project website or repository for the latest security advisories and updates related to CVE-2024-35743.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.