Plataforma
wordpress
Componente
booking-ultra-pro
Corrigido em
1.1.14
Uma vulnerabilidade de Path Traversal foi descoberta no plugin Booking Ultra Pro Appointments para WordPress. Essa falha, classificada com severidade ALTA (CVSS 7.1), permite a inclusão de arquivos locais, possibilitando que um atacante acesse arquivos arbitrários no servidor. A vulnerabilidade afeta versões do plugin anteriores ou iguais a 1.1.13. A correção foi disponibilizada na versão 1.1.14.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos arbitrários no servidor WordPress. Isso pode levar ao acesso não autorizado a informações confidenciais, como arquivos de configuração, senhas, chaves de API e outros dados sensíveis. Em cenários mais graves, um atacante poderia até mesmo executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do sistema. A inclusão de arquivos locais é uma técnica comum utilizada em ataques para obter informações privilegiadas e escalar privilégios.
A vulnerabilidade foi divulgada em 2024-07-12. Não há informações disponíveis sobre exploração ativa ou inclusão na KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração. É importante aplicar a correção o mais rápido possível para evitar possíveis ataques.
WordPress websites utilizing the Booking Ultra Pro Appointments plugin, particularly those running versions prior to 1.1.14, are at risk. Shared hosting environments where WordPress installations have limited control over file permissions are especially vulnerable. Sites with weak server configurations or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/booking-ultra-pro-appointments/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/booking-ultra-pro-appointments/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
1.23% (percentil 79%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Booking Ultra Pro Appointments para a versão 1.1.14 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos. Implementar um Web Application Firewall (WAF) com regras para bloquear requisições com caminhos de arquivo maliciosos também pode ajudar a mitigar o risco.
Actualice el plugin Booking Ultra Pro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-38717 is a Path Traversal vulnerability in the Booking Ultra Pro Appointments WordPress plugin, allowing attackers to potentially include arbitrary files.
Yes, if you are using Booking Ultra Pro Appointments version 1.1.13 or earlier, you are affected by this vulnerability.
Upgrade the Booking Ultra Pro Appointments plugin to version 1.1.14 or later to resolve this vulnerability.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.