Plataforma
wordpress
Componente
smsa-shipping-official
Corrigido em
2.3.1
2.4
A vulnerabilidade CVE-2024-49249 afeta o plugin SMSA Shipping para WordPress, permitindo acesso arbitrário de arquivos. Devido à validação inadequada do caminho do arquivo, usuários autenticados com permissões de Subscriber ou superiores podem deletar arquivos no servidor. Essa falha pode ser explorada para execução remota de código, especialmente se arquivos críticos como wp-config.php forem removidos. A vulnerabilidade afeta versões do plugin até a 2.3, sendo corrigida na versão 2.4.
Um atacante autenticado, com acesso de nível Subscriber ou superior, pode explorar essa vulnerabilidade para deletar arquivos arbitrários no servidor WordPress. A deleção de arquivos de configuração críticos, como wp-config.php, pode resultar na execução remota de código (RCE), permitindo ao atacante comprometer completamente o servidor web. A gravidade da vulnerabilidade reside na facilidade com que um atacante pode obter acesso a arquivos sensíveis e, potencialmente, assumir o controle do servidor. A ausência de validação adequada do caminho do arquivo torna a exploração relativamente simples, mesmo para atacantes com conhecimento técnico limitado. A deleção de arquivos essenciais pode levar à interrupção do serviço e perda de dados.
A vulnerabilidade CVE-2024-49249 foi publicada em 2026-01-06. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA KEV catalog). A ausência de um Proof of Concept (PoC) publicamente disponível sugere que a exploração ainda não é amplamente conhecida, mas a facilidade de exploração inerente à vulnerabilidade aumenta o risco de exploração futura. A pontuação CVSS de 8.1 (HIGH) indica um risco significativo.
WordPress websites using the SMSA Shipping plugin, particularly those with Subscriber-level users who have access to file management functionalities, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable.
• wordpress / composer / npm:
wp plugin list | grep smsa-shipping• wordpress / composer / npm:
wp plugin update smsa-shipping --version=2.4• wordpress / composer / npm:
grep -r 'delete_file' /var/www/html/wp-content/plugins/smsa-shipping/*• generic web: Check WordPress plugin directory for mentions of the vulnerability and potential exploit attempts.
disclosure
Status do Exploit
EPSS
0.17% (percentil 38%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-49249 é atualizar o plugin SMSA Shipping para a versão 2.4 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir o acesso de usuários com permissões de Subscriber ou superiores. Implemente regras de firewall (WAF) para bloquear solicitações suspeitas que tentem acessar ou manipular arquivos sensíveis. Monitore os logs do servidor WordPress em busca de tentativas de acesso não autorizado ou deleção de arquivos. Após a atualização, verifique a integridade dos arquivos do plugin para garantir que a correção foi aplicada corretamente.
Atualize para a versão 2.4, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-49249 is a vulnerability in the SMSA Shipping WordPress plugin allowing authenticated users to delete files, potentially leading to remote code execution. It affects versions up to 2.3 and has a CVSS score of 8.1 (HIGH).
You are affected if you are using the SMSA Shipping plugin version 2.3 or earlier. Check your plugin version and upgrade immediately.
Upgrade the SMSA Shipping plugin to version 2.4 or later. If upgrading is not possible, restrict file access permissions and implement WAF rules.
Currently, there are no confirmed reports of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the official SMSA Shipping plugin website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.