Plataforma
wordpress
Componente
wp-newsletter-subscription
Corrigido em
1.1.1
Uma vulnerabilidade de Path Traversal foi descoberta no plugin WP Newsletter Subscription, afetando versões até 1.1. Essa falha permite a Inclusão de Arquivo Local (LFI) PHP, possibilitando a um atacante ler arquivos arbitrários no servidor. A vulnerabilidade foi publicada em 05 de outubro de 2024 e corrigida na versão 1.1.1. A atualização imediata é recomendada para proteger seus sites WordPress.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos PHP arbitrários no servidor web. Isso pode levar à divulgação de informações confidenciais, como arquivos de configuração, chaves de API ou até mesmo código-fonte do site. Em cenários mais graves, um atacante pode executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do sistema. A inclusão de arquivos sensíveis pode facilitar o acesso a outras partes do sistema, permitindo a escalada de privilégios e o movimento lateral dentro da rede.
Atualmente, não há relatos públicos de exploração ativa desta vulnerabilidade. A vulnerabilidade foi adicionada ao NVD em 05 de outubro de 2024. Dada a natureza da vulnerabilidade de Path Traversal, existe o potencial para que ela seja explorada em campanhas automatizadas. A ausência de um PoC público não elimina o risco, pois a exploração pode ser direcionada a alvos específicos.
Websites using the WP Newsletter Subscription plugin, particularly those running older versions (≤1.1), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin configurations and security measures. Sites with weak file permissions or inadequate server-level security configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-newsletter-subscription/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wp-newsletter-subscription/../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.30% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin WP Newsletter Subscription para a versão 1.1.1 ou superior. Se a atualização imediata não for possível, considere restringir o acesso ao diretório do plugin através de permissões de arquivo ou implementando regras de firewall (WAF) para bloquear solicitações suspeitas. Monitore os logs do servidor em busca de tentativas de acesso a arquivos não autorizados. Após a atualização, confirme a correção executando um teste de penetração básico para verificar se a vulnerabilidade foi efetivamente eliminada.
Actualice el plugin WP Newsletter Subscription a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Revise las configuraciones del plugin para asegurar que no haya opciones que permitan la inclusión de archivos locales.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-44012 is a Path Traversal vulnerability in the WP Newsletter Subscription plugin that allows attackers to potentially include arbitrary files on the server, leading to sensitive data exposure or code execution.
You are affected if you are using WP Newsletter Subscription version 1.1 or earlier. Upgrade to version 1.1.1 to resolve the vulnerability.
Upgrade the WP Newsletter Subscription plugin to version 1.1.1 or later. As a temporary workaround, restrict access to the plugin directory using your web server configuration.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation makes it a potential target for attackers.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.