Plataforma
wordpress
Componente
salon-booking-system
Corrigido em
9.9.1
A vulnerabilidade CVE-2024-37231 representa um problema de acesso arbitrário a arquivos (Path Traversal) no sistema Salon Booking System. Essa falha permite que um atacante explore a aplicação para ler arquivos que não deveriam estar acessíveis, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do Salon Booking System anteriores ou iguais a 9.9, sendo corrigida na versão 9.9.1.
Um atacante explorando essa vulnerabilidade pode ler arquivos arbitrários no servidor onde o Salon Booking System está instalado. Isso pode incluir arquivos de configuração, código-fonte, logs ou até mesmo dados de clientes armazenados no servidor. O impacto potencial é alto, pois a exposição desses arquivos pode levar ao roubo de informações sensíveis, comprometimento da integridade do sistema e até mesmo à execução remota de código, dependendo do conteúdo dos arquivos acessados. A ausência de controles adequados de validação de caminho permite que o atacante manipule a requisição para acessar arquivos fora do diretório previsto.
A vulnerabilidade foi divulgada em 2024-06-24. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar qualquer atividade maliciosa relacionada a essa vulnerabilidade.
Organizations using the Salon Booking System plugin, particularly those with older versions (≤9.9) and those who haven't implemented robust file access controls, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one user's installation could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/salon-booking-system/• generic web:
curl -I http://your-salon-booking-system/../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.14% (percentil 34%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-37231 é atualizar o Salon Booking System para a versão 9.9.1 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao servidor através de um firewall, monitorar logs de acesso em busca de atividades suspeitas e implementar regras de WAF (Web Application Firewall) para bloquear requisições com padrões de Path Traversal. Verifique se as permissões de arquivos e diretórios estão configuradas corretamente, garantindo que apenas usuários autorizados tenham acesso.
Actualice el plugin Salon Booking System a la última versión disponible. La vulnerabilidad de eliminación arbitraria de archivos se ha corregido en versiones posteriores a la 9.9. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-37231 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a server running the Salon Booking System. It impacts versions up to 9.9.
You are affected if you are using Salon Booking System version 9.9 or earlier. Upgrade to 9.9.1 to mitigate the risk.
Upgrade to Salon Booking System version 9.9.1 or later. As a temporary workaround, restrict file access permissions or implement a WAF.
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Salon Booking System website or security advisory channels for the latest information and updates regarding CVE-2024-37231.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.