Plataforma
wordpress
Componente
wpspx
Corrigido em
1.0.3
Uma vulnerabilidade de Path Traversal foi descoberta no plugin WPSPX para WordPress. Esta falha permite a Inclusão de Arquivos Local (LFI), possibilitando que um atacante acesse arquivos arbitrários no servidor onde o plugin está instalado. A vulnerabilidade afeta versões do WPSPX anteriores ou iguais a 1.0.2 e foi corrigida na versão 1.0.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos arbitrários no servidor web. Isso pode levar ao acesso não autorizado a informações confidenciais, como arquivos de configuração, código-fonte do WordPress ou outros plugins. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do site WordPress. A inclusão de arquivos local é um vetor de ataque comum, frequentemente explorado para obter acesso a credenciais de banco de dados ou outros dados sensíveis.
A vulnerabilidade foi divulgada em 2024-10-05. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA). A ausência de um Proof of Concept (PoC) publicamente disponível pode indicar um risco menor, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo potencial para exploração futura.
Websites using the WPSPX plugin, particularly those running older versions (≤1.0.2), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and plugin updates. WordPress installations with default or weak security configurations are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wpspx/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wpspx/index.php?file=../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive• wordpress / composer / npm:
wp plugin auto-update --alldisclosure
Status do Exploit
EPSS
0.30% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WPSPX para a versão 1.0.3 ou superior, que corrige a vulnerabilidade de Path Traversal. Se a atualização imediata não for possível, considere restringir o acesso ao diretório do plugin através de configurações do servidor web ou WAF. Implementar regras de WAF que bloqueiem requisições com caracteres de path traversal (../) pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando se o acesso a arquivos sensíveis através de requisições manipuladas é bloqueado.
Actualice el plugin WPSPX a una versión posterior a la 1.0.2. Esto solucionará la vulnerabilidad de inclusión de archivos locales. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-44034 is a Path Traversal vulnerability in the WPSPX WordPress plugin that allows attackers to potentially include arbitrary files on the server.
You are affected if you are using WPSPX versions 1.0.2 or earlier. Upgrade to version 1.0.3 to resolve the vulnerability.
Upgrade the WPSPX plugin to version 1.0.3 or later. If immediate upgrade is not possible, implement temporary workarounds like WAF rules or file permission restrictions.
While no confirmed active exploitation campaigns are known, the vulnerability's nature suggests a potential for opportunistic attacks.
Refer to the WPSPX project's official website or WordPress plugin repository for the latest advisory and release notes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.