Plataforma
wordpress
Componente
jet-theme-core
Corrigido em
2.2.1
A vulnerabilidade CVE-2024-37497, classificada como Acesso Arbitrário de Arquivo (Path Traversal), afeta o plugin JetThemeCore. Essa falha permite que um atacante manipule arquivos no servidor, potencialmente comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade impacta versões do JetThemeCore anteriores à 2.2.1, e uma correção foi disponibilizada na versão 2.2.1.
Um atacante explorando essa vulnerabilidade pode ler, modificar ou até mesmo excluir arquivos arbitrários no servidor web onde o JetThemeCore está instalado. Isso pode levar à exposição de informações sensíveis, como arquivos de configuração, chaves de API, ou dados de usuários. Em cenários mais graves, um atacante pode obter controle total sobre o servidor, comprometendo todo o site WordPress. A exploração bem-sucedida depende da capacidade do atacante de manipular a entrada para acessar arquivos fora do diretório pretendido, utilizando técnicas de path traversal como '../'.
A vulnerabilidade foi divulgada publicamente em 2024-07-09. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração, portanto, a aplicação da correção é altamente recomendada.
Websites using JetThemeCore versions prior to 2.2.1 are at risk. This includes sites using shared hosting environments where file permissions may be less restrictive, and those relying on older WordPress installations that haven't been regularly updated. Sites with sensitive data stored within the WordPress file system are particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/jet-themecore/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/jet-themecore/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.16% (percentil 37%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-37497 é atualizar o plugin JetThemeCore para a versão 2.2.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de uploads do WordPress e monitorar logs de acesso em busca de tentativas de path traversal. Implementar um Web Application Firewall (WAF) com regras para bloquear requisições com sequências de path traversal (../) também pode ajudar a mitigar o risco. Após a atualização, verifique se o plugin está funcionando corretamente e se não há novos erros.
Actualice el plugin JetThemeCore a la versión 2.2.1 o superior. Esta actualización corrige la vulnerabilidad de eliminación arbitraria de archivos. Puede actualizar a través del panel de administración de WordPress o descargando la última versión desde el sitio web del desarrollador.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-37497 is a vulnerability in JetThemeCore versions ≤2.2.1 that allows attackers to manipulate files on the server due to improper path validation, potentially leading to sensitive data exposure.
You are affected if you are using JetThemeCore version 2.2.1 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade JetThemeCore to version 2.2.1 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file access permissions and WAF rules.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly to prevent potential attacks.
Refer to the Crocoblock website and JetThemeCore plugin documentation for the official advisory and detailed information regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.