Plataforma
wordpress
Componente
users-control
Corrigido em
1.0.17
Uma vulnerabilidade de Path Traversal foi identificada no componente Users Control, permitindo a inclusão de arquivos locais (LFI) através de PHP. Essa falha permite que um atacante acesse arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do Users Control anteriores ou iguais a 1.0.16, sendo corrigida na versão 1.0.17.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos arbitrários no servidor, contornando as restrições de diretório. Isso pode levar ao acesso não autorizado a arquivos de configuração, código-fonte, logs ou outros dados sensíveis. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor se encontrar arquivos PHP executáveis. A ausência de validação adequada do caminho do arquivo permite a manipulação da requisição para acessar recursos fora do diretório esperado, abrindo portas para a exfiltração de dados e potencial comprometimento do sistema.
A vulnerabilidade foi divulgada em 2024-10-05. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV). A existência de um Proof of Concept (PoC) público é desconhecida no momento, mas a natureza da vulnerabilidade (Path Traversal) a torna relativamente fácil de explorar.
WordPress websites using the Users Control plugin, particularly those running versions prior to 1.0.17, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server file permissions and configurations, making exploitation easier.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/users-control/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/users-control/../../../../etc/passwd | head -n 1disclosure
Status do Exploit
EPSS
0.30% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 1.0.17 do Users Control. Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como restringir o acesso ao diretório do Users Control através de permissões de arquivo e diretório. Considere a utilização de um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de Path Traversal. Monitore os logs do servidor em busca de padrões suspeitos de acesso a arquivos não autorizados.
Actualiza el plugin Users Control a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.0.16. Verifica que la versión actualizada esté instalada correctamente en tu sitio de WordPress.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-44015 is a Path Traversal vulnerability in the Users Control WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
You are affected if you are using Users Control version 1.0.16 or earlier. Upgrade to version 1.0.17 to resolve the vulnerability.
Upgrade the Users Control plugin to version 1.0.17 or later. Consider temporary workarounds like WAF rules and restricted file permissions if immediate upgrade isn't possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Check the Users Control plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.