Plataforma
wordpress
Componente
instant-chat-wp
Corrigido em
1.0.6
A vulnerabilidade CVE-2024-44018 é uma falha de Path Traversal (Inclusão de Arquivos Locais) descoberta no plugin Instant Chat Floating Button para WordPress. Essa falha permite que um atacante inclua arquivos locais no servidor, potencialmente expondo informações confidenciais. Versões do plugin anteriores ou iguais a 1.0.5 são afetadas. A correção foi lançada na versão 1.0.6.
Um atacante pode explorar essa vulnerabilidade para ler arquivos arbitrários no servidor web, desde que o plugin Instant Chat Floating Button esteja instalado e a versão seja vulnerável. Isso pode incluir arquivos de configuração, código-fonte, ou até mesmo arquivos de log contendo informações sensíveis, como senhas ou chaves de API. A inclusão de arquivos locais pode levar à divulgação de informações confidenciais, execução remota de código (se arquivos executáveis estiverem acessíveis) e comprometimento da integridade do sistema WordPress. A exploração bem-sucedida pode permitir que um atacante obtenha acesso não autorizado a dados críticos e controle sobre o servidor.
A vulnerabilidade foi divulgada em 2024-10-05. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. Consulte o NVD (National Vulnerability Database) para atualizações sobre a exploração e a severidade da vulnerabilidade.
WordPress websites utilizing the Instant Chat Floating Button plugin, particularly those running older versions (≤1.0.5), are at risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher density of potential targets.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/instant-chat-floating-button/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/instant-chat-floating-button/?file=../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.30% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-44018 é atualizar o plugin Instant Chat Floating Button para a versão 1.0.6 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin. Implementar regras de firewall (WAF) para bloquear tentativas de acesso a arquivos fora do diretório raiz do WordPress pode ajudar a mitigar o risco. Verifique regularmente os arquivos de log do servidor em busca de padrões suspeitos de acesso a arquivos, como solicitações com sequências ../.
Actualice el plugin Instant Chat WP a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte la página del plugin en WordPress.org para obtener más información y actualizaciones.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-44018 is a Path Traversal vulnerability affecting the Instant Chat Floating Button plugin for WordPress, allowing attackers to potentially include arbitrary files.
You are affected if you are using Instant Chat Floating Button for WordPress Websites version 1.0.5 or earlier.
Upgrade the Instant Chat Floating Button plugin to version 1.0.6 or later. Consider temporary workarounds like restricting file access permissions and implementing WAF rules.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Check the Istmo Plugins website and WordPress plugin repository for updates and advisories related to CVE-2024-44018.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.