Plataforma
wordpress
Componente
advanced-classifieds-and-directory-pro
Corrigido em
3.1.4
A vulnerabilidade CVE-2024-37501 é uma falha de Path Traversal descoberta no plugin Advanced Classifieds & Directory Pro. Essa falha permite que um atacante acesse arquivos e diretórios fora do escopo pretendido, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin até a 3.1.3 e foi corrigida na versão 3.1.4. A atualização imediata é recomendada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante leia arquivos arbitrários no servidor web, potencialmente incluindo arquivos de configuração, código-fonte ou dados sensíveis do usuário. Isso pode levar à divulgação de informações confidenciais, comprometimento do sistema ou execução de código malicioso, dependendo dos arquivos acessados. Um atacante poderia, por exemplo, ler o arquivo wp-config.php para obter acesso ao banco de dados do WordPress. A gravidade da falha é alta devido ao potencial de acesso não autorizado a dados críticos.
A vulnerabilidade foi divulgada em 9 de julho de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração.
Websites utilizing PluginsWare Advanced Classifieds & Directory Pro, particularly those running older versions (≤3.1.3) and those with shared hosting environments where file permissions may be less restrictive, are at increased risk. Sites with sensitive data stored on the server are especially vulnerable.
• wordpress / plugin:
wp plugin list | grep Advanced Classifieds• wordpress / plugin: Check for unusual files in the plugin's directory or accessible via web requests.
• generic web: Monitor web server access logs for requests containing ../ or other path traversal sequences.
• generic web: Use a WAF to block requests containing suspicious path traversal patterns.
disclosure
Status do Exploit
EPSS
1.46% (percentil 81%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Advanced Classifieds & Directory Pro para a versão 3.1.4 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de instalação do plugin através do servidor web. Implementar regras de firewall (WAF) que bloqueiem solicitações com padrões de path traversal (ex: ../) pode ajudar a mitigar o risco. Monitore os logs do servidor web em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualice el plugin Advanced Classifieds & Directory Pro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 3.1.3. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-37501 is a Path Traversal vulnerability affecting Advanced Classifieds & Directory Pro versions up to 3.1.3, allowing attackers to access arbitrary files on the server.
You are affected if you are using Advanced Classifieds & Directory Pro version 3.1.3 or earlier. Upgrade to 3.1.4 to mitigate the risk.
Upgrade Advanced Classifieds & Directory Pro to version 3.1.4 or later. If immediate upgrade is not possible, implement temporary workarounds like WAF rules and file permission restrictions.
There is currently no indication of active exploitation campaigns, but the vulnerability's nature suggests potential for rapid exploitation.
Refer to the PluginsWare website and WordPress plugin repository for the latest advisory and update information regarding CVE-2024-37501.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.