Plataforma
wordpress
Componente
maxslider
Corrigido em
1.2.4
Uma vulnerabilidade de Path Traversal foi descoberta no plugin MaxSlider para WordPress. Esta falha permite que um atacante, sob certas condições, acesse arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do MaxSlider anteriores ou iguais a 1.2.3 e foi corrigida na versão 1.2.4.
A vulnerabilidade de Path Traversal no MaxSlider permite que um atacante contorne as restrições de diretório e acesse arquivos que não deveriam estar acessíveis. Um atacante pode explorar essa falha para ler arquivos de configuração, código-fonte ou outros dados sensíveis armazenados no servidor web. Em cenários mais graves, a exploração bem-sucedida pode levar à execução remota de código, comprometendo a segurança do servidor WordPress e de todos os dados associados. A gravidade da vulnerabilidade reside na sua capacidade de permitir acesso não autorizado a recursos críticos do sistema.
A vulnerabilidade foi divulgada em 2024-10-16. Não há evidências de exploração ativa em campanhas direcionadas no momento da publicação. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa do risco de exploração, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo potencial para exploração automatizada. A inclusão em catálogos como o KEV (Know Exploited Vulnerabilities) ainda não foi confirmada.
WordPress websites utilizing the MaxSlider plugin, particularly those running older versions (≤1.2.3), are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may be less able to implement workarounds or monitor for suspicious activity. Sites with sensitive data stored on the same server are also at heightened risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/maxslider/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/maxslider/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep maxslider• wordpress / composer / npm:
wp plugin update maxsliderdisclosure
Status do Exploit
EPSS
0.29% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2024-47351 é atualizar o plugin MaxSlider para a versão 1.2.4 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor em busca de tentativas de acesso não autorizado a arquivos e implemente um sistema de detecção de intrusão para identificar atividades suspeitas. Após a atualização, confirme a correção verificando se o acesso a arquivos sensíveis fora do diretório do plugin é bloqueado.
Actualiza el plugin MaxSlider a la última versión disponible. Si no hay una versión más reciente, considera deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Verifica que el plugin esté actualizado regularmente para evitar futuras vulnerabilidades.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-47351 is a Path Traversal vulnerability affecting the MaxSlider WordPress plugin, allowing attackers to read arbitrary files on the server.
You are affected if you are using MaxSlider version 1.2.3 or earlier. Upgrade to version 1.2.4 to resolve the vulnerability.
Upgrade the MaxSlider plugin to version 1.2.4 or later. Consider temporary workarounds like WAF rules and file access restrictions if immediate upgrade is not possible.
As of now, there are no known public exploits or active campaigns targeting CVE-2024-47351, but proactive patching is still recommended.
Refer to the CSSIgniter Team's website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.