Plataforma
wordpress
Componente
abcapp-creator
Corrigido em
1.1.3
Uma vulnerabilidade de Path Traversal foi descoberta no ABCApp Creator, permitindo a inclusão de arquivos locais (LFI) via PHP. Essa falha, classificada com severidade ALTA (CVSS 8.1), permite que um atacante acesse arquivos arbitrários no servidor onde o ABCApp Creator está instalado. A vulnerabilidade afeta versões do ABCApp Creator anteriores ou iguais a 1.1.2. A correção está disponível na versão 1.1.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante leia arquivos arbitrários no sistema de arquivos do servidor. Isso pode incluir arquivos de configuração, código-fonte, arquivos de log e outros dados sensíveis. Em um cenário de ataque, um invasor poderia usar essa vulnerabilidade para obter informações confidenciais, como credenciais de banco de dados ou chaves de API, que poderiam ser usadas para comprometer ainda mais o sistema. A inclusão de arquivos locais também pode ser usada para executar código malicioso no servidor, dependendo das permissões do usuário sob o qual o ABCApp Creator está sendo executado. A extensão do impacto dependerá do acesso que o atacante obtém aos arquivos e da capacidade de explorar as informações roubadas.
A vulnerabilidade foi divulgada em 2024-10-05. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV. Não foram identificados Proof of Concepts (PoCs) públicos no momento da redação, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo potencial para exploração. Consulte o aviso oficial do fornecedor para obter mais informações.
Websites utilizing ABCApp Creator, particularly those running older versions (≤1.1.2), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and file permissions. Sites with misconfigured file access controls or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/abcapp-creator/*• generic web:
curl -I 'http://your-website.com/index.php?page=../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep abcapp-creator• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/abcapp-creator/ -name '*.php' -print0 | xargs -0 grep -i 'include('disclosure
Status do Exploit
EPSS
0.87% (percentil 75%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o ABCApp Creator para a versão 1.1.3 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de instalação do ABCApp Creator e monitorar os logs do servidor em busca de atividades suspeitas. Implementar regras em um Web Application Firewall (WAF) para bloquear solicitações que contenham caracteres de path traversal (../) pode ajudar a mitigar o risco. Verifique as permissões de arquivos e diretórios para garantir que o usuário sob o qual o ABCApp Creator está sendo executado tenha apenas as permissões mínimas necessárias.
Actualice el plugin ABCApp Creator a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-44023 is a Path Traversal vulnerability in ABCApp Creator allowing PHP Local File Inclusion, potentially exposing sensitive data.
You are affected if you are using ABCApp Creator versions 1.1.2 or earlier. Upgrade to 1.1.3 to resolve the issue.
Upgrade ABCApp Creator to version 1.1.3 or later. Implement file access controls and WAF rules as temporary mitigations.
While no public exploits are currently known, the vulnerability's nature makes exploitation likely. Monitor your systems for suspicious activity.
Refer to the ABCApp Creator official website or security advisory channels for the latest information and updates regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.