Plataforma
wordpress
Componente
wishlist-member-x
Corrigido em
3.26.7
3.26.7
A vulnerabilidade CVE-2024-37108 afeta o plugin Wishlist Member para WordPress, permitindo acesso arbitrário de arquivos. Devido à falta de validação adequada do caminho do arquivo, um atacante autenticado com permissões de Subscriber ou superior pode excluir arquivos arbitrários no servidor. Essa falha afeta versões do plugin anteriores à 3.26.7 e pode levar à execução remota de código, especialmente se arquivos críticos como wp-config.php forem excluídos.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado, com privilégios mínimos de Subscriber, exclua arquivos no servidor WordPress. A exclusão de arquivos de configuração, como wp-config.php, pode levar à execução remota de código, comprometendo completamente o site. O impacto é amplificado se o servidor estiver configurado com permissões de escrita permissivas para o usuário do WordPress. A capacidade de excluir arquivos críticos pode permitir a modificação de dados, a instalação de backdoors e o controle total do servidor. Embora a vulnerabilidade exija autenticação, a facilidade de obtenção de permissões de Subscriber em muitos sites WordPress torna o risco significativo.
A vulnerabilidade foi divulgada em 20 de junho de 2024. Não há evidências públicas de exploração ativa em larga escala no momento da redação. A existência de um proof-of-concept (PoC) público pode aumentar o risco de exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar qualquer atividade maliciosa relacionada a esta vulnerabilidade.
WordPress websites utilizing the Wishlist Member plugin, particularly those running versions prior to 3.26.7, are at risk. Shared hosting environments are especially vulnerable, as they often have limited file permission controls and a higher density of WordPress installations, increasing the potential attack surface. Sites with legacy WordPress configurations or those that haven't implemented robust security practices are also at heightened risk.
• wordpress / composer / npm:
grep -r 'wishlist_member_delete_file' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=active | grep Wishlist Member• wordpress / composer / npm:
wp plugin update wishlist-member --version=3.26.7• generic web:
Check WordPress access logs for requests containing suspicious file paths or deletion attempts targeting sensitive files like wp-config.php.
disclosure
Status do Exploit
EPSS
0.28% (percentil 52%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-37108 é atualizar o plugin Wishlist Member para a versão 3.26.7 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir as permissões de escrita para o diretório de uploads do WordPress e para o arquivo wp-config.php. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações suspeitas que tentem acessar ou excluir arquivos fora do diretório esperado também pode ajudar. Monitore os logs do servidor WordPress em busca de tentativas de acesso ou exclusão de arquivos incomuns.
Atualize para a versão 3.26.7, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-37108 is a vulnerability in the Wishlist Member WordPress plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution if critical files are deleted.
You are affected if your WordPress site uses the Wishlist Member plugin and is running a version prior to 3.26.7. Check your plugin version immediately.
Upgrade the Wishlist Member plugin to version 3.26.7 or later. If immediate upgrade is not possible, implement temporary mitigations like restricting file permissions and using a WAF.
As of June 2024, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the Wishlist Member website and WordPress plugin repository for the latest security advisory and update information regarding CVE-2024-37108.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.