Plataforma
wordpress
Componente
makestories-helper
Corrigido em
3.0.4
A vulnerabilidade CVE-2024-38746, classificada como Path Traversal/SSRF, afeta o plugin MakeStories para Google Web Stories. Essa falha permite que atacantes explorem a limitação inadequada de caminhos, possibilitando o acesso a recursos internos do servidor. Versões do plugin anteriores ou iguais a 3.0.3 são vulneráveis, e a correção foi implementada na versão 3.0.4.
Um atacante explorando essa vulnerabilidade pode realizar requisições para recursos internos do servidor que não deveriam ser acessíveis externamente. Isso pode levar à exposição de informações confidenciais, como arquivos de configuração, dados de usuários ou até mesmo acesso a outros serviços rodando no mesmo servidor. A combinação de Path Traversal e SSRF aumenta significativamente o potencial de dano, permitindo que o atacante contorne as proteções de segurança e acesse recursos protegidos. A exploração bem-sucedida pode resultar em comprometimento completo do servidor WordPress e seus dados.
A vulnerabilidade foi divulgada em 01 de agosto de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração, portanto, a aplicação da correção é altamente recomendada.
Websites utilizing MakeStories for Google Web Stories, particularly those running versions prior to 3.0.4, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites that rely on MakeStories to integrate with internal or external APIs are also at higher risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/makestories/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/makestories/some-file.php?url=../sensitive-file• wordpress / composer / npm:
wp plugin list --status=active | grep makestoriesdisclosure
Status do Exploit
EPSS
0.79% (percentil 74%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin MakeStories para a versão 3.0.4 ou superior. Se a atualização imediata não for possível devido a incompatibilidades, considere implementar regras de firewall de aplicação web (WAF) para bloquear requisições suspeitas que tentem acessar caminhos não autorizados. Além disso, revise as permissões de arquivos e diretórios no servidor para garantir que apenas os usuários autorizados tenham acesso. Monitore os logs do servidor WordPress e do plugin MakeStories em busca de atividades suspeitas, como requisições para caminhos inesperados.
Actualice el plugin MakeStories (for Google Web Stories) a una versión posterior a la 3.0.3. Esto solucionará las vulnerabilidades de Path Traversal y Server Side Request Forgery. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-38746 is a Server-Side Request Forgery vulnerability affecting MakeStories versions up to 3.0.3, allowing attackers to make unauthorized requests. It has a CVSS score of 7.1 (HIGH).
Yes, if you are using MakeStories (for Google Web Stories) version 3.0.3 or earlier, you are vulnerable to this SSRF vulnerability.
Upgrade MakeStories to version 3.0.4 or later to resolve the vulnerability. Consider implementing WAF rules as a temporary workaround if immediate upgrade is not possible.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a potential for active campaigns. Monitoring is advised.
Refer to the MakeStories official website and WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.