Plataforma
wordpress
Componente
jobmonster
Corrigido em
4.7.1
A vulnerabilidade CVE-2024-37928 é classificada como Acesso Arbitrário de Arquivos (Path Traversal) no plugin Jobmonster para WordPress. Essa falha permite que um atacante manipule arquivos no servidor, potencialmente comprometendo a integridade e confidencialidade dos dados. As versões afetadas são aquelas anteriores ou iguais a 4.7.0. A correção foi disponibilizada na versão 4.7.1.
Um atacante explorando esta vulnerabilidade pode ler ou até mesmo modificar arquivos arbitrários no servidor web onde o Jobmonster está instalado. Isso inclui arquivos de configuração, código-fonte de outros plugins ou temas, e até mesmo arquivos do sistema operacional, dependendo das permissões do usuário sob o qual o servidor web está rodando. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, execução remota de código e, em última instância, ao comprometimento completo do servidor. A capacidade de manipular arquivos torna esta vulnerabilidade particularmente perigosa, similar a cenários onde atacantes usam path traversal para obter acesso a chaves de API ou credenciais de banco de dados.
A vulnerabilidade foi publicada em 2024-07-12. Não há informações disponíveis sobre a inclusão em KEV ou um EPSS score. Atualmente, não há um Proof of Concept (PoC) publicamente conhecido, mas a natureza da vulnerabilidade (Path Traversal) a torna um alvo potencial para exploração automatizada. É recomendável monitorar a atividade do servidor e implementar as medidas de mitigação descritas acima.
WordPress websites utilizing the Jobmonster plugin, particularly those running versions prior to 4.7.1, are at risk. Shared hosting environments where users have limited control over plugin configurations are especially vulnerable, as are websites with legacy configurations that haven't been regularly updated.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/jobmonster/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/jobmonster/wp-admin/admin.php?page=jobmonster-settings&file=../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep jobmonsterdisclosure
Status do Exploit
EPSS
0.65% (percentil 71%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-37928 é atualizar o plugin Jobmonster para a versão 4.7.1 ou superior. Se a atualização imediata não for possível devido a incompatibilidades com outros plugins ou temas, considere restringir o acesso ao diretório do plugin através de configurações do servidor web (por exemplo, usando .htaccess para negar acesso a arquivos fora do diretório do plugin). Implementar um Web Application Firewall (WAF) com regras para bloquear requisições com caracteres de path traversal (../) também pode ajudar a mitigar o risco. Monitore os logs do servidor web em busca de tentativas de acesso a arquivos fora do diretório esperado do Jobmonster.
Actualice el tema Jobmonster a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o reemplazar el tema con una alternativa segura. Consulte el registro de cambios del tema para obtener más detalles sobre la corrección de la vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-37928 is a HIGH severity vulnerability in Jobmonster WordPress plugin allowing attackers to manipulate files. It affects versions ≤4.7.0 and can lead to data exposure and server compromise.
If you are using Jobmonster version 4.7.0 or earlier, you are affected by this vulnerability. Check your plugin version and upgrade immediately.
Upgrade Jobmonster to version 4.7.1 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the Jobmonster plugin website or the NooTheme support channels for the official advisory and further details.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.