Plataforma
wordpress
Componente
wpoptin
Corrigido em
2.0.2
A vulnerabilidade CVE-2024-47645 é uma falha de Path Traversal descoberta no plugin Top Bar – PopUps para WordPress, desenvolvido por Sajid Javed. Essa falha permite a Inclusão de Arquivo Local (LFI), possibilitando que um atacante acesse arquivos arbitrários no servidor. Versões do plugin até 2.0.1 são afetadas, e a correção está disponível na versão 2.0.2.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos arbitrários no servidor web. Isso significa que um invasor pode potencialmente ler arquivos de configuração, arquivos de código-fonte ou outros dados sensíveis armazenados no servidor. Em cenários mais graves, dependendo das permissões do usuário do servidor web, um atacante poderia até mesmo executar código malicioso no servidor. Embora a descrição não especifique a possibilidade de execução remota de código, a leitura de arquivos de configuração poderia revelar credenciais ou outras informações que poderiam ser usadas para escalar privilégios ou comprometer o sistema.
A vulnerabilidade foi divulgada em 2024-10-16. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração, portanto, a aplicação das medidas de mitigação é altamente recomendada.
WordPress websites using the Top Bar – PopUps plugin, particularly those running versions 2.0.1 or earlier, are at risk. Shared hosting environments where file permissions are not tightly controlled are especially vulnerable, as an attacker could potentially exploit this flaw to gain access to other websites hosted on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/top-bar-popups-by-wpoptin/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/top-bar-popups-by-wpoptin/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.40% (percentil 61%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-47645 é atualizar o plugin Top Bar – PopUps para a versão 2.0.2 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere restringir o acesso ao plugin através de um firewall de aplicação web (WAF) ou proxy reverso, configurando regras para bloquear solicitações que contenham caracteres suspeitos no caminho do arquivo. Monitore os logs do servidor web e do WordPress em busca de tentativas de acesso a arquivos não autorizados. Implemente uma política de segurança de conteúdo (CSP) para restringir as fontes de scripts e outros recursos que o navegador pode carregar.
Actualice el plugin WPOptin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-47645 is a Path Traversal vulnerability in the Top Bar – PopUps plugin for WordPress, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Top Bar – PopUps by WPOptin version 2.0.1 or earlier, you are affected by this vulnerability.
Upgrade the Top Bar – PopUps plugin to version 2.0.2 or later to resolve this vulnerability. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
Active exploitation is not currently confirmed, but the vulnerability's potential impact warrants immediate remediation.
Check the WPOptin website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.