Plataforma
wordpress
Componente
analyse-uploads
Corrigido em
0.5.1
Uma vulnerabilidade de Acesso Arbitrário de Arquivos foi descoberta em Analyse Uploads, permitindo que atacantes acessem arquivos arbitrários no sistema. Essa falha, classificada com CVSS 8.6 (ALTO), impacta versões do componente até 0.5. A correção está disponível na versão 0.5.1.
A vulnerabilidade de Acesso Arbitrário de Arquivos em Analyse Uploads permite que um atacante explore a funcionalidade de upload para acessar arquivos fora do diretório pretendido. Isso pode resultar na exposição de informações confidenciais, como arquivos de configuração, chaves de API, ou até mesmo código-fonte. Em um cenário de ataque bem-sucedido, um invasor poderia ler arquivos sensíveis, potencialmente comprometendo a integridade e a confidencialidade do sistema WordPress. A exploração bem-sucedida pode levar à divulgação de dados confidenciais e, dependendo dos arquivos acessados, à escalada de privilégios.
A vulnerabilidade foi divulgada em 2024-10-16. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público não foi confirmada, mas a natureza da vulnerabilidade (Acesso Arbitrário de Arquivos) a torna um alvo potencial para exploração.
WordPress websites utilizing the Analyse Uploads plugin, particularly those running older versions (≤0.5), are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially expose files on other sites.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/analyse-uploads/• generic web:
curl -I http://your-wordpress-site.com/wp-content/uploads/../../../../etc/passwd | head -n 1disclosure
Status do Exploit
EPSS
0.29% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2024-49253 é atualizar o componente Analyse Uploads para a versão 0.5.1 ou superior. Se a atualização imediata não for possível, considere implementar restrições de acesso ao diretório de uploads no servidor web para limitar o impacto potencial. Além disso, monitore os logs do servidor web em busca de tentativas de acesso a arquivos fora do diretório de uploads. Implementar regras de firewall para bloquear solicitações que tentem acessar arquivos fora do diretório de uploads também pode ajudar a mitigar o risco.
Actualice el plugin Analyse Uploads a la última versión disponible. Si no hay una versión disponible, considere desinstalar el plugin hasta que se publique una versión corregida. Esto evitará la eliminación arbitraria de archivos en su servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-49253 is a vulnerability in the Analyse Uploads WordPress plugin allowing attackers to read arbitrary files on the server. It affects versions up to 0.5 and has a CVSS score of 8.6 (HIGH).
You are affected if you are using Analyse Uploads version 0.5 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Analyse Uploads plugin to version 0.5.1 or later. If immediate upgrade is not possible, implement WAF rules to block suspicious path traversal attempts.
As of now, there are no confirmed reports of active exploitation, but the high CVSS score warrants immediate attention and remediation.
Refer to the James Park website or WordPress plugin repository for the official advisory and update information regarding CVE-2024-49253.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.