Plataforma
wordpress
Componente
ekc-tournament-manager
Corrigido em
2.2.2
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no EKC Tournament Manager, afetando versões até 2.2.1. Essa falha permite que um atacante explore a aplicação para realizar ações não autorizadas, incluindo o upload de um Web Shell para o servidor web. A vulnerabilidade foi publicada em 31 de outubro de 2024 e corrigida na versão 2.2.2.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante execute ações arbitrárias no servidor onde o EKC Tournament Manager está hospedado. O atacante pode, por exemplo, enviar requisições maliciosas que resultem no upload de um Web Shell, concedendo-lhe acesso remoto e controle sobre o sistema. Isso pode levar à exfiltração de dados sensíveis, modificação de informações do torneio, ou até mesmo à tomada de controle completa do servidor. A gravidade da vulnerabilidade é classificada como CRÍTICA devido ao potencial de impacto significativo.
A vulnerabilidade foi divulgada publicamente em 31 de outubro de 2024. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento. A vulnerabilidade foi adicionada ao Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, indicando um risco potencial para organizações que utilizam o EKC Tournament Manager.
Websites utilizing EKC Tournament Manager, particularly those with limited security controls or shared hosting environments, are at significant risk. Sites with outdated plugin versions and those lacking robust input validation are especially vulnerable.
• wordpress / composer / npm:
grep -r 'EKC Tournament Manager' /var/www/html/
wp plugin list• generic web:
curl -I https://your-website.com/wp-content/plugins/ekc-tournament-manager/disclosure
Status do Exploit
EPSS
0.12% (percentil 32%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o EKC Tournament Manager para a versão 2.2.2 ou superior, que inclui a correção para esta vulnerabilidade CSRF. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação rigorosa de todas as requisições de entrada e a implementação de tokens CSRF em todas as ações críticas. Além disso, configure um Web Application Firewall (WAF) para bloquear requisições suspeitas e monitorar os logs do servidor em busca de atividades anormais. Após a atualização, confirme a correção verificando se as requisições não autorizadas são bloqueadas.
Atualize o plugin EKC Tournament Manager para a última versão disponível. Se não houver uma versão disponível, considere desabilitar o plugin até que uma versão corrigida seja publicada. Consulte o site do desenvolvedor para obter mais informações e atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-49674 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no EKC Tournament Manager que permite o upload de um Web Shell, afetando versões até 2.2.1. Um atacante pode explorar essa falha para realizar ações não autorizadas.
Se você estiver utilizando o EKC Tournament Manager em uma versão inferior ou igual a 2.2.1, você está afetado por esta vulnerabilidade. Verifique a versão instalada e atualize para a versão 2.2.2 ou superior.
A correção é atualizar o EKC Tournament Manager para a versão 2.2.2 ou superior. Se a atualização imediata não for possível, implemente medidas de proteção adicionais, como validação de entrada e tokens CSRF.
Atualmente, não há informações disponíveis sobre a existência de campanhas de exploração ativas, mas a vulnerabilidade foi adicionada ao KEV, indicando um risco potencial.
Consulte o site oficial do EKC Tournament Manager ou o repositório do plugin no WordPress.org para obter informações adicionais e o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.