Plataforma
wordpress
Componente
wp-cafe
Corrigido em
2.2.28
Uma vulnerabilidade de Path Traversal foi descoberta no plugin WPCafe para WordPress. Esta falha permite que atacantes acessem arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin WPCafe anteriores ou iguais a 2.2.27. A correção foi lançada na versão 2.2.28.
A vulnerabilidade de Path Traversal no WPCafe permite que um atacante, através de requisições HTTP maliciosas, acesse arquivos fora do diretório pretendido. Isso pode incluir arquivos de configuração, logs, ou até mesmo código-fonte do servidor. O acesso a esses arquivos pode levar à exposição de credenciais, informações de usuários, ou permitir a execução de código malicioso no servidor, dependendo das permissões dos arquivos acessados. A exploração bem-sucedida desta vulnerabilidade pode resultar em comprometimento completo do servidor WordPress e dos dados que ele hospeda.
A vulnerabilidade foi divulgada publicamente em 9 de julho de 2024. Não há evidências de exploração ativa em campanhas em larga escala no momento. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento. A pontuação CVSS de 8.5 (ALTO) indica um risco significativo, especialmente para sites WordPress com alta visibilidade.
WordPress websites utilizing the WPCafe plugin, particularly those running older versions (≤2.2.27), are at risk. Shared hosting environments where server file permissions are not tightly controlled are especially vulnerable, as an attacker could potentially leverage this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wpcafe/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wpcafe/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list | grep wpcafédisclosure
Status do Exploit
EPSS
1.23% (percentil 79%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin WPCafe para a versão 2.2.28 ou superior. Se a atualização imediata não for possível devido a incompatibilidades com outros plugins ou temas, considere implementar regras de firewall (WAF) para bloquear requisições que contenham sequências de path traversal, como '../'. Além disso, revise as permissões dos arquivos e diretórios no servidor para garantir que apenas os usuários necessários tenham acesso de leitura. Após a atualização, verifique se a vulnerabilidade foi corrigida acessando o plugin com uma requisição que deveria ser bloqueada e confirmando que o acesso é negado.
Actualice el plugin WPCafe a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se ha corregido en versiones posteriores a la 2.2.27. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-37513 is a Path Traversal vulnerability affecting the WPCafe WordPress plugin, allowing attackers to read arbitrary files on the server.
You are affected if you are using WPCafe version 2.2.27 or earlier. Upgrade to version 2.2.28 to resolve the vulnerability.
Upgrade the WPCafe plugin to version 2.2.28 or later. As a temporary workaround, restrict file access permissions and implement WAF rules to block path traversal attempts.
While there is no confirmed active exploitation, public proof-of-concept exploits are emerging, increasing the risk.
Refer to the official WPCafe plugin website and WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.