Plataforma
wordpress
Componente
justified-image-grid
Corrigido em
4.6.2
A vulnerabilidade CVE-2024-43989 representa uma falha de Server-Side Request Forgery (SSRF) no plugin Justified Image Grid para WordPress. Essa falha permite que um atacante realize requisições não autorizadas em nome do servidor, potencialmente acessando recursos internos ou externos. As versões afetadas são aquelas anteriores ou iguais a 4.6.1, sendo que a correção foi implementada na versão 4.6.2.
Um atacante explorando esta vulnerabilidade SSRF pode realizar requisições para qualquer URL que o servidor tenha permissão para acessar. Isso pode incluir acessar serviços internos que não são expostos publicamente, como bancos de dados, servidores de administração ou APIs internas. Em cenários mais graves, um atacante pode usar a vulnerabilidade para ler arquivos sensíveis do sistema de arquivos do servidor ou até mesmo realizar ataques de negação de serviço (DoS) ao sobrecarregar recursos internos. A exploração bem-sucedida pode levar à exposição de dados confidenciais e comprometimento da integridade do sistema.
A vulnerabilidade foi divulgada em 2024-09-22. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress websites utilizing the Justified Image Grid plugin, particularly those with access to sensitive internal resources, are at risk. Shared hosting environments where multiple websites share the same server infrastructure are also at increased risk, as a compromised website could potentially be used to attack other websites on the same server.
• wordpress / composer / npm:
grep -r 'wp_remote_get' /var/www/html/wp-content/plugins/justified-image-grid/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/justified-image-grid/ | grep Serverdisclosure
Status do Exploit
EPSS
5.03% (percentil 90%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-43989 é a atualização imediata do plugin Justified Image Grid para a versão 4.6.2 ou superior. Se a atualização não for possível devido a incompatibilidades com outros plugins ou temas, considere implementar regras de firewall de aplicação web (WAF) para bloquear requisições suspeitas. Além disso, restrinja o acesso a recursos internos e monitore os logs do servidor em busca de atividades anormais. Após a atualização, verifique se a vulnerabilidade foi corrigida acessando a funcionalidade afetada e confirmando que as requisições são devidamente validadas.
Atualize o plugin Justified Image Grid para a última versão disponível. A vulnerabilidade SSRF permite que atacantes façam requisições para servidores internos ou externos a partir do servidor web. A atualização corrige esta vulnerabilidade.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-43989 é uma vulnerabilidade SSRF no plugin Justified Image Grid para WordPress, permitindo que atacantes façam requisições em nome do servidor.
Sim, se você estiver usando o Justified Image Grid em versões anteriores ou igual a 4.6.1, você está afetado.
Atualize o plugin Justified Image Grid para a versão 4.6.2 ou superior. Implemente regras de WAF como medida adicional.
Não há confirmação de exploração ativa no momento, mas a divulgação pública aumenta o risco.
Consulte o site do desenvolvedor do plugin ou o repositório do WordPress para obter o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.