Plataforma
wordpress
Componente
timeline-and-history-slider
Corrigido em
2.3.1
Uma vulnerabilidade de Path Traversal foi descoberta no componente Timeline e History slider do plugin WP OnlineSupport. Essa falha permite a inclusão de arquivos PHP locais, possibilitando que um atacante acesse arquivos sensíveis no servidor. A vulnerabilidade afeta versões do plugin até a 2.3. Uma correção foi lançada na versão 2.3.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos PHP arbitrários no servidor web. Isso pode levar ao acesso não autorizado a informações confidenciais, como arquivos de configuração, código-fonte ou dados de usuários. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do sistema. A inclusão de arquivos locais pode ser explorada para obter acesso a credenciais de banco de dados, chaves de API ou outros dados sensíveis armazenados no servidor.
A vulnerabilidade foi divulgada em 19 de agosto de 2024. Não há relatos públicos de exploração ativa no momento. A ausência de um Proof of Concept (PoC) publicamente disponível dificulta a avaliação do risco imediato, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo potencial para exploração futura. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
WordPress websites utilizing the WP OnlineSupport Timeline and History slider plugin, particularly those running versions prior to 2.3.1, are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/timeline-and-history-slider/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/timeline-and-history-slider/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.77% (percentil 73%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin WP OnlineSupport para a versão 2.3.1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório. Implementar regras de firewall (WAF) para bloquear requisições suspeitas que tentem acessar arquivos fora do diretório esperado também pode ajudar. Monitore os logs do servidor em busca de tentativas de acesso a arquivos não autorizados.
Actualiza el plugin Timeline and History slider a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-43232 is a Path Traversal vulnerability in the WP OnlineSupport Timeline and History slider plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using WP OnlineSupport Timeline and History slider version 2.3 or earlier. Upgrade to 2.3.1 to resolve the issue.
Upgrade the WP OnlineSupport Timeline and History slider plugin to version 2.3.1 or later. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
While no confirmed active exploitation has been publicly reported, the vulnerability's ease of exploitation suggests it is a potential target for attackers.
Refer to the WP OnlineSupport website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.