Plataforma
wordpress
Componente
bitformpro
Corrigido em
2.6.5
A vulnerabilidade CVE-2024-43248 representa uma falha de acesso arbitrário de arquivos (Path Traversal) no plugin Bit Form Pro para WordPress. Essa falha permite que um atacante manipule arquivos no servidor, potencialmente expondo dados confidenciais ou até mesmo executando código malicioso. A vulnerabilidade afeta versões do Bit Form Pro anteriores ou iguais a 2.6.4, sendo corrigida na versão 2.6.5.
Um atacante explorando esta vulnerabilidade pode ler, modificar ou excluir arquivos arbitrários no servidor onde o Bit Form Pro está instalado. Isso pode levar à divulgação de informações sensíveis, como chaves de API, senhas ou dados de usuários. Em cenários mais graves, um atacante pode usar essa vulnerabilidade para executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do sistema. A manipulação de arquivos pode também permitir a modificação de configurações do WordPress ou a instalação de backdoors persistentes.
A vulnerabilidade foi divulgada em 19 de agosto de 2024. Não há informações sobre exploração ativa em campanhas, mas a natureza da vulnerabilidade (Path Traversal) a torna um alvo potencial para exploração automatizada. A ausência de um KEV listing indica que a vulnerabilidade ainda não foi considerada de alta prioridade por agências de segurança, mas a pontuação CVSS de 8.6 (ALTO) justifica a atenção imediata.
WordPress websites utilizing Bit Form Pro, particularly those with older versions (≤2.6.4) and those that haven't implemented robust file upload security measures, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/bit-form-pro/*• generic web:
curl -I 'http://your-website.com/wp-content/plugins/bit-form-pro/path/../sensitive_file.txt' # Check for 200 OK responsedisclosure
Status do Exploit
EPSS
0.25% (percentil 48%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-43248 é atualizar o plugin Bit Form Pro para a versão 2.6.5 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso ao diretório de uploads do WordPress, implementando regras de firewall (WAF) para bloquear solicitações que contenham caracteres de path traversal (como '../'). Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualice el plugin Bit Form Pro a la última versión disponible. La vulnerabilidad permite la eliminación arbitraria de archivos, por lo que es crucial actualizar para proteger su sitio web. Verifique que la versión actualizada sea posterior a la 2.6.4.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-43248 is a vulnerability in Bit Form Pro allowing attackers to manipulate files. It has a HIGH severity rating and affects versions up to 2.6.4.
You are affected if you are using Bit Form Pro version 2.6.4 or earlier. Check your version and upgrade immediately.
Upgrade Bit Form Pro to version 2.6.5 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a potential for active exploitation.
Refer to the Bit Apps security advisory for detailed information and updates: [https://bit-apps.net/security/](https://bit-apps.net/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.