Plataforma
wordpress
Componente
litespeed-cache
Corrigido em
6.4.2
Uma vulnerabilidade de Path Traversal foi descoberta no LiteSpeed Cache, permitindo que atacantes acessem arquivos arbitrários no servidor. Essa falha afeta versões do plugin até 6.4.1. A atualização para a versão 6.4.2 corrige a vulnerabilidade e é altamente recomendada.
A vulnerabilidade de Path Traversal no LiteSpeed Cache permite que um atacante, através de requisições maliciosas, acesse arquivos sensíveis no servidor web onde o plugin está instalado. Isso pode incluir arquivos de configuração, código-fonte, ou dados confidenciais armazenados no servidor. O impacto potencial é a exposição de informações confidenciais, comprometimento do servidor, ou até mesmo a execução de código malicioso, dependendo das permissões do usuário sob o qual o processo do LiteSpeed Cache está rodando. A exploração bem-sucedida pode levar à completa tomada de controle do servidor.
A vulnerabilidade foi publicada em 16 de outubro de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração, portanto, a aplicação das medidas de mitigação é crucial.
WordPress websites utilizing LiteSpeed Cache plugin versions 6.4.1 and earlier are at direct risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit this vulnerability to gain access to other websites hosted on the same server. Sites with misconfigured file permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/lite-speed-cache/• generic web:
curl -I 'https://your-wordpress-site.com/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
1.74% (percentil 82%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2024-47637 é a atualização imediata do LiteSpeed Cache para a versão 6.4.2 ou superior. Se a atualização imediata não for possível devido a conflitos de plugins ou problemas de compatibilidade, considere restringir o acesso ao diretório do plugin através de regras de firewall ou WAF (Web Application Firewall). Verifique as permissões de arquivos e diretórios do plugin para garantir que apenas o usuário necessário tenha acesso de leitura e escrita. Após a atualização, confirme a correção da vulnerabilidade acessando o painel de administração do WordPress e verificando a versão do plugin.
Actualice el plugin LiteSpeed Cache a la última versión disponible. La vulnerabilidad de Path Traversal ha sido corregida en versiones posteriores a la 6.4.1. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-47637 is a Path Traversal vulnerability affecting LiteSpeed Cache versions up to 6.4.1, allowing attackers to potentially read sensitive files on the server.
Yes, if you are using LiteSpeed Cache version 6.4.1 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade LiteSpeed Cache to version 6.4.2 or later. Implement WAF rules to restrict file access as an interim measure.
Currently, there are no known public exploits or active campaigns targeting this vulnerability, but the potential for exploitation exists.
Refer to the official LiteSpeed Technologies security advisory for CVE-2024-47637 on their website.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.