Plataforma
wordpress
Componente
listingpro-plugin
Corrigido em
2.9.4
Uma vulnerabilidade de Path Traversal foi descoberta no plugin ListingPro para WordPress. Essa falha permite a Inclusão de Arquivos Locais (LFI) via PHP, possibilitando que um atacante acesse arquivos sensíveis no servidor. A vulnerabilidade afeta versões do ListingPro anteriores ou iguais a 2.9.3, e foi corrigida na versão 2.9.4.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos arbitrários no servidor, potencialmente expondo informações confidenciais como arquivos de configuração, código-fonte ou dados de usuários. Um atacante poderia obter acesso a credenciais de banco de dados, chaves de API ou outros segredos armazenados no servidor. Além disso, dependendo das permissões do servidor, um atacante poderia até mesmo executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do sistema. Essa vulnerabilidade é similar a outras falhas de Path Traversal que permitiram a leitura de arquivos críticos em ambientes WordPress.
A vulnerabilidade foi divulgada em 01 de agosto de 2024. Não há informações disponíveis sobre a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. Não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade (Path Traversal) a torna relativamente fácil de explorar para atacantes com conhecimento técnico.
WordPress sites utilizing the ListingPro plugin, particularly those running versions prior to 2.9.4, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher concentration of vulnerable plugins. Sites with sensitive data or those used for e-commerce are also at higher risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/listingpro/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/listingpro/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
1.16% (percentil 79%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin ListingPro para a versão 2.9.4 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo apropriadas no servidor. Utilize um Web Application Firewall (WAF) com regras para bloquear tentativas de inclusão de arquivos maliciosos. Monitore os logs do servidor em busca de padrões suspeitos de acesso a arquivos, como solicitações para arquivos fora do diretório do plugin.
Actualice el plugin ListingPro a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 2.9.3. Consulte la documentación del plugin para obtener instrucciones sobre cómo actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-39621 is a Path Traversal vulnerability affecting the ListingPro WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using ListingPro versions 2.9.3 or earlier. Upgrade to 2.9.4 to resolve the issue.
Upgrade the ListingPro plugin to version 2.9.4 or later. As a temporary workaround, implement WAF rules to block path traversal attempts.
While no active exploitation has been confirmed, the vulnerability is well-understood and exploitation is likely.
Refer to the official ListingPro website and WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.