Plataforma
wordpress
Componente
striking-r
Corrigido em
2.3.5
A vulnerabilidade CVE-2024-37268 é uma falha de Path Traversal identificada no plugin Striking para WordPress. Essa falha permite que atacantes acessem arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do Striking anteriores ou iguais a 2.3.4, sendo corrigida na versão 2.3.5.
Um atacante explorando essa vulnerabilidade pode ler arquivos no servidor web, incluindo arquivos de configuração, código-fonte e dados sensíveis. O acesso a esses arquivos pode levar à divulgação de credenciais, informações de usuários, chaves de API e outros dados confidenciais. Em cenários mais graves, a leitura de arquivos de configuração pode revelar informações sobre a infraestrutura do servidor, facilitando ataques subsequentes. A exploração bem-sucedida pode resultar em comprometimento completo do servidor WordPress.
A vulnerabilidade foi publicada em 2024-07-09. Atualmente, não há informações sobre exploração ativa em campanhas direcionadas. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação.
WordPress websites utilizing the Striking plugin, particularly those running older versions (≤2.3.4), are at risk. Shared hosting environments where file system permissions are less tightly controlled are especially vulnerable. Sites with weak security configurations or inadequate input validation practices are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/striking/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/striking/../../../../etc/passwd' # Check for sensitive file accessdisclosure
Status do Exploit
EPSS
1.08% (percentil 78%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-37268 é atualizar o plugin Striking para a versão 2.3.5 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar regras de firewall de aplicação web (WAF) para bloquear solicitações que tentem acessar arquivos fora do diretório raiz do plugin. Além disso, revise as permissões de arquivos e diretórios no servidor para garantir que apenas os usuários necessários tenham acesso de leitura. Após a atualização, confirme a correção verificando se as solicitações de path traversal são bloqueadas.
Actualice el tema Striking a una versión posterior a la 2.3.4. Si no hay una versión disponible, considere deshabilitar o reemplazar el tema con una alternativa segura. Consulte la documentación del tema o al proveedor para obtener instrucciones específicas de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-37268 is a Path Traversal vulnerability affecting the Striking WordPress plugin, allowing attackers to access arbitrary files on the server.
You are affected if you are using Striking WordPress plugin versions 2.3.4 or earlier. Upgrade to 2.3.5 or later to resolve the vulnerability.
Upgrade the Striking WordPress plugin to version 2.3.5 or later. Implement temporary workarounds like restricting file access and validating user input if immediate upgrade is not possible.
No active exploitation campaigns have been confirmed, but the vulnerability's nature suggests a potential for rapid exploitation if a PoC is released.
Refer to the Striking plugin's official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.