Plataforma
wordpress
Componente
page-builder-add
Corrigido em
1.5.3
Uma vulnerabilidade de Path Traversal foi descoberta no plugin Landing Page Builder, permitindo a Inclusão de Arquivo Local (LFI) PHP. Essa falha, classificada com severidade HIGH (CVSS 7.5), permite que um atacante inclua arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin até 1.5.2.0 e foi corrigida na versão 1.5.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos PHP arbitrários no servidor web. Isso pode resultar na leitura de arquivos de configuração, código-fonte, ou outros arquivos sensíveis que contenham credenciais, chaves de API ou informações confidenciais sobre o sistema. Em cenários mais graves, um atacante poderia até mesmo executar código malicioso no servidor se conseguir incluir um arquivo PHP controlado por ele. A ausência de validação adequada do caminho do arquivo permite que um atacante manipule a requisição para acessar arquivos fora do diretório esperado, contornando as proteções de segurança.
Esta vulnerabilidade foi divulgada em 2024-08-19. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de uma vulnerabilidade de Path Traversal, especialmente com potencial para LFI, aumenta o risco de exploração, e é recomendável aplicar as correções o mais rápido possível. A ausência de um Proof of Concept (PoC) público não diminui a necessidade de mitigação.
WordPress websites utilizing the PluginOps Landing Page Builder plugin, particularly those running versions prior to 1.5.3, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server file permissions, increasing the potential impact of a successful exploit.
• wordpress / plugin:
wp plugin list | grep Landing Page Builder• wordpress / plugin: Check for file inclusion attempts in WordPress access logs, looking for patterns like ../ or ../../ in the request URI.
• wordpress / plugin: Examine the Landing Page Builder plugin's code for instances of filegetcontents or similar functions that handle user-supplied input without proper sanitization.
disclosure
Status do Exploit
EPSS
0.70% (percentil 72%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Landing Page Builder para a versão 1.5.3 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório no servidor. Além disso, configure um Web Application Firewall (WAF) para bloquear requisições que contenham caracteres suspeitos ou padrões de path traversal. Monitore os logs do servidor em busca de tentativas de acesso a arquivos não autorizados.
Actualice el plugin Landing Page Builder a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.5.2.0. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Landing Page Builder' para actualizarlo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-43345 is a Path Traversal vulnerability in the PluginOps Landing Page Builder plugin for WordPress, allowing attackers to potentially include arbitrary PHP files.
Yes, if you are using Landing Page Builder version 1.5.2.0 or earlier, you are affected by this vulnerability.
Upgrade the Landing Page Builder plugin to version 1.5.3 or later to remediate the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
As of the current date, there are no known public exploits or active campaigns targeting this vulnerability, but the HIGH CVSS score warrants immediate attention.
Refer to the PluginOps website or WordPress plugin repository for the official advisory and update information regarding CVE-2024-43345.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.