Plataforma
wordpress
Componente
wp-fastest-cache
Corrigido em
1.2.7
A vulnerabilidade CVE-2024-4347 afeta o plugin WP Fastest Cache para WordPress, permitindo acesso a arquivos arbitrários. Essa falha de Directory Traversal permite que atacantes autenticados excluam arquivos no servidor, comprometendo a segurança do site. Versões do plugin WP Fastest Cache até 1.2.6 são vulneráveis. A correção está disponível em versões posteriores.
Um atacante autenticado pode explorar essa vulnerabilidade para excluir arquivos críticos no servidor WordPress, como o arquivo wp-config.php, que contém informações sensíveis de configuração do banco de dados. Em ambientes de hospedagem compartilhada, a exploração pode afetar outros sites no mesmo servidor. A exclusão de arquivos essenciais pode levar à interrupção do serviço, perda de dados e comprometimento da integridade do site. A ausência de controles adequados na função specificDeleteCache permite que um atacante manipule o caminho do arquivo para acessar e excluir arquivos fora do diretório pretendido.
O CVE-2024-4347 foi publicado em 23 de maio de 2024. Atualmente, não há relatos de exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público aumenta o risco de exploração. A vulnerabilidade foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA, indicando uma probabilidade média de exploração.
WordPress websites using the WP Fastest Cache plugin, particularly those hosted on shared hosting environments, are at risk. Sites with weak user authentication or those that haven't implemented proper access controls are especially vulnerable. Legacy WordPress installations with outdated plugins are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep "WP Fastest Cache"• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r "specificDeleteCache" /var/www/html/wp-content/plugins/wp-fastest-cache/• generic web: Check WordPress plugin directory for updates and security advisories related to WP Fastest Cache.
disclosure
Status do Exploit
EPSS
5.50% (percentil 90%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WP Fastest Cache para uma versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin. Como medida adicional, implemente regras de firewall de aplicação web (WAF) para bloquear solicitações que tentem acessar arquivos fora do diretório esperado. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos. Verifique se as permissões de arquivo estão corretamente configuradas para restringir o acesso não autorizado.
Actualice el plugin WP Fastest Cache a la última versión disponible. La vulnerabilidad que permite el borrado arbitrario de archivos se ha corregido en versiones posteriores a la 1.2.6.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-4347 is a vulnerability in WP Fastest Cache versions up to 1.2.6 that allows authenticated attackers to delete arbitrary files on the server, potentially compromising the site or shared hosting environment.
You are affected if you are using WP Fastest Cache version 1.2.6 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the WP Fastest Cache plugin to a version newer than 1.2.6. If upgrading is not immediately possible, implement temporary mitigations like restricting file access permissions and using a WAF.
There is currently no confirmed active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the WP Fastest Cache official website and WordPress plugin directory for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.