Plataforma
wordpress
Componente
vr-calendar-sync
Corrigido em
2.4.1
A vulnerabilidade CVE-2024-44013 é uma falha de Path Traversal descoberta no plugin VR Calendar. Essa falha permite a Inclusão de Arquivos Locais (LFI) via PHP, possibilitando que um atacante acesse arquivos sensíveis no servidor. A vulnerabilidade afeta versões do VR Calendar anteriores ou iguais a 2.4.0, e foi corrigida na versão 2.4.1.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos arbitrários no servidor onde o VR Calendar está instalado. Isso inclui arquivos de configuração, código-fonte, logs e outros dados sensíveis. A inclusão de arquivos locais pode levar à divulgação de informações confidenciais, como credenciais de banco de dados, chaves de API e informações de usuários. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor, dependendo das permissões do usuário sob o qual o VR Calendar está sendo executado. Essa vulnerabilidade é similar a outras falhas de Path Traversal que permitem o acesso não autorizado a recursos do sistema.
O CVE-2024-44013 foi publicado em 2024-10-05. Atualmente, não há informações sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. A severidade da vulnerabilidade é classificada como ALTA devido ao potencial de acesso não autorizado a arquivos sensíveis.
Websites utilizing the VR Calendar plugin, particularly those running older versions (≤2.4.0), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security. WordPress sites with weak file permission settings or inadequate input validation are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/vr-calendar/*• wordpress / composer / npm:
wp plugin list --status=active | grep vr-calendar• wordpress / composer / npm:
wp plugin update vr-calendar --alldisclosure
Status do Exploit
EPSS
0.30% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-44013 é atualizar o plugin VR Calendar para a versão 2.4.1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório adequadas no servidor. Implementar um Web Application Firewall (WAF) com regras para bloquear tentativas de Path Traversal também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de padrões suspeitos de acesso a arquivos que não deveriam estar acessíveis.
Actualice el plugin VR Calendar a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-44013 is a Path Traversal vulnerability in the VR Calendar WordPress plugin that allows attackers to include arbitrary files, potentially leading to code execution.
You are affected if you are using VR Calendar version 2.4.0 or earlier. Upgrade to version 2.4.1 to resolve the vulnerability.
Upgrade the VR Calendar plugin to version 2.4.1 or later. As a temporary workaround, restrict file access permissions and validate user input.
While no active exploitation campaigns have been confirmed, the vulnerability's nature suggests a potential for rapid exploitation.
Refer to the Innate Images LLC website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.