Plataforma
wordpress
Componente
mh-board
Corrigido em
1.3.3
Uma vulnerabilidade de Path Traversal foi descoberta no plugin MH Board para WordPress. Essa falha permite a inclusão de arquivos locais (LFI) PHP, possibilitando a um atacante acessar arquivos sensíveis no servidor. A vulnerabilidade afeta versões do MH Board anteriores ou iguais a 1.3.2.1 e foi corrigida na versão 1.3.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos arbitrários no servidor web. Isso pode levar à divulgação de informações confidenciais, como arquivos de configuração, código-fonte ou dados de usuários. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do sistema. A inclusão de arquivos locais pode ser um ponto de partida para ataques mais sofisticados, como a execução remota de código, dependendo das permissões do usuário web e dos arquivos acessíveis.
Esta vulnerabilidade foi divulgada em 02 de outubro de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de uma vulnerabilidade de Path Traversal em um plugin popular do WordPress aumenta o risco de exploração, especialmente em sites que não são atualizados regularmente.
WordPress websites utilizing the MH Board plugin, particularly those running versions prior to 1.3.3, are at risk. Shared hosting environments where users have limited control over plugin configurations are especially vulnerable, as are websites with outdated or unpatched WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/mh-board/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/mh-board/../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.30% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin MH Board para a versão 1.3.3 ou superior, que inclui a correção. Se a atualização imediata não for possível, implemente regras de firewall de aplicação web (WAF) para bloquear solicitações que tentem acessar arquivos fora do diretório esperado. Além disso, revise as permissões de arquivos e diretórios no servidor para garantir que apenas os usuários necessários tenham acesso a arquivos sensíveis. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos.
Actualice el plugin MH Board a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.3.2.1. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-44017 is a Path Traversal vulnerability in the MH Board WordPress plugin that allows attackers to include arbitrary files, potentially leading to code execution.
You are affected if you are using MH Board version 1.3.2.1 or earlier. Upgrade to version 1.3.3 to resolve the issue.
Upgrade the MH Board plugin to version 1.3.3 or later. If immediate upgrade is not possible, implement temporary workarounds like WAF rules and file permission restrictions.
While no active exploitation has been confirmed, the vulnerability is likely to be targeted given its ease of exploitation. Monitor for signs of compromise.
Refer to the MH Board plugin's official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.