Plataforma
wordpress
Componente
wp-timelines
Corrigido em
3.6.8
Uma vulnerabilidade de Path Traversal foi descoberta no plugin WP Timeline – Vertical and Horizontal timeline para WordPress. Essa falha permite a Inclusão de Arquivo Local (LFI) PHP, concedendo a um atacante potencial acesso não autorizado a arquivos no servidor. A vulnerabilidade afeta versões do plugin anteriores ou iguais a 3.6.7 e foi corrigida na versão 3.6.8. A atualização imediata é recomendada para proteger seus sites WordPress.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos arbitrários no servidor WordPress, potencialmente expondo informações confidenciais, como arquivos de configuração, senhas ou código-fonte. Um atacante poderia ler arquivos fora do diretório esperado do plugin, obtendo acesso a dados sensíveis. Em cenários mais graves, a inclusão de arquivos maliciosos pode levar à execução remota de código, comprometendo completamente o servidor WordPress. Embora não haja relatos públicos de exploração ativa, a facilidade de exploração e a natureza sensível dos dados potencialmente acessíveis tornam esta vulnerabilidade uma ameaça significativa.
A vulnerabilidade foi divulgada em 2024-10-05. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. Não há public proof-of-concept (PoC) amplamente disponíveis, mas a natureza da vulnerabilidade de Path Traversal sugere que a criação de um PoC é relativamente simples. A probabilidade de exploração é considerada média, dada a popularidade do plugin e a facilidade de exploração.
Websites using the WP Timeline – Vertical and Horizontal timeline plugin, particularly those running older versions (≤3.6.7), are at risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher density of vulnerable plugins.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-timeline/• wordpress / composer / npm:
wp plugin list --status=inactive | grep timeline• wordpress / composer / npm:
wp plugin update wp-timeline --all• generic web: Check WordPress plugin directory for mentions of the vulnerability and associated IOCs.
disclosure
Status do Exploit
EPSS
0.22% (percentil 44%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin WP Timeline para a versão 3.6.8 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere remover o plugin temporariamente. Como medida adicional, implemente regras de firewall de aplicação web (WAF) para bloquear solicitações que tentem acessar arquivos fora do diretório esperado do plugin. Monitore os logs do servidor WordPress em busca de tentativas de acesso a arquivos suspeitos ou padrões de inclusão de arquivos incomuns. Verifique se as permissões de arquivo estão corretamente configuradas para restringir o acesso não autorizado.
Actualice el plugin WP Timeline a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad y protege su sitio web.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-47324 is a Path Traversal vulnerability in the WP Timeline plugin allowing attackers to include arbitrary files, potentially leading to code execution. It affects versions up to 3.6.7.
You are affected if you are using the WP Timeline plugin version 3.6.7 or earlier. Check your plugin version and upgrade immediately.
Upgrade the WP Timeline plugin to version 3.6.8 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file access.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation makes it a likely target. Monitor your systems for suspicious activity.
Refer to the Ex-Themes website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.