Plataforma
wordpress
Componente
strategery-migrations
Corrigido em
1.0.1
A vulnerabilidade CVE-2024-35745 é classificada como Path Traversal (Acesso Arbitrário a Arquivos) no plugin Strategery Migrations para WordPress. Essa falha permite que atacantes acessem arquivos fora do diretório pretendido, potencialmente expondo informações confidenciais ou até mesmo executando código malicioso. As versões afetadas são aquelas anteriores à 1.0.1. A correção foi disponibilizada na versão 1.0.1.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos arbitrários no servidor web, incluindo arquivos de configuração, chaves de API e dados de usuários. Isso pode levar à divulgação de informações confidenciais, como credenciais de banco de dados ou chaves privadas. Em cenários mais graves, um atacante pode até mesmo conseguir executar código remotamente no servidor, comprometendo a integridade e a confidencialidade do sistema. A ausência de validação adequada do caminho do arquivo permite que atacantes manipulem a requisição para acessar recursos não autorizados.
A vulnerabilidade foi divulgada em 10 de junho de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress websites utilizing the Strategery Migrations plugin, particularly those running versions prior to 1.0.1, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as they may not be able to quickly apply updates.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/strategery-migrations/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/strategery-migrations/../../../../etc/passwd' # Check for directory traversaldisclosure
Status do Exploit
EPSS
0.84% (percentil 75%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-35745 é atualizar o plugin Strategery Migrations para a versão 1.0.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin. Como medida adicional, implemente regras de firewall (WAF) para bloquear requisições que contenham sequências de path traversal, como '../'. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualiza el plugin Strategery Migrations a una versión posterior a la 1.0, si existe. Si no hay una versión disponible, considera deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la eliminación arbitraria de archivos en tu sitio web.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-35745 is a vulnerability in Strategery Migrations allowing attackers to access files outside intended directories. It has a HIGH severity (7.5) and affects versions up to 1.0.
If you are using Strategery Migrations version 1.0 or earlier, you are affected by this vulnerability. Upgrade to 1.0.1 to resolve the issue.
Upgrade Strategery Migrations to version 1.0.1 or later. Consider implementing WAF rules and stricter file access controls as additional security measures.
While no public exploits are currently available, the vulnerability's simplicity suggests a potential for rapid exploitation. Continuous monitoring is recommended.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.