Plataforma
wordpress
Componente
digipass
Corrigido em
0.3.1
A vulnerabilidade CVE-2024-52378, classificada como Path Traversal, afeta o plugin DigiPass para WordPress. Esta falha permite que um atacante acesse arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. Versões do DigiPass anteriores ou iguais a 0.3.0 são vulneráveis, e a correção foi implementada na versão 0.3.1.
Um atacante explorando esta vulnerabilidade pode ler arquivos arbitrários no servidor onde o DigiPass está instalado. Isso inclui arquivos de configuração, logs, e potencialmente até mesmo código-fonte de outras aplicações. O acesso a esses arquivos pode revelar credenciais, chaves de API, informações de usuários, ou outros dados sensíveis. A exploração bem-sucedida pode levar a comprometimento completo do servidor, dependendo das permissões do usuário sob o qual o processo do DigiPass está rodando. Embora não haja relatos públicos de exploração ativa, a facilidade de exploração e o potencial impacto tornam esta vulnerabilidade um risco significativo.
A vulnerabilidade foi divulgada em 14 de novembro de 2024. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. Não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade Path Traversal sugere que a exploração é relativamente simples. A pontuação CVSS de 7.5 (ALTO) indica um risco significativo.
WordPress websites utilizing the DigiPass plugin, particularly those running versions prior to 0.3.0, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially expose files on other sites.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/digipass/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/digipass/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.22% (percentil 44%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin DigiPass para a versão 0.3.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a incompatibilidades ou problemas de teste, considere implementar restrições de acesso ao diretório onde o DigiPass está instalado através do servidor web (ex: Apache .htaccess ou Nginx config). Além disso, revise as permissões de arquivos e diretórios para garantir que o usuário sob o qual o DigiPass roda tenha apenas as permissões mínimas necessárias. Monitore os logs do servidor web e do DigiPass para atividades suspeitas, como tentativas de acesso a arquivos fora do diretório esperado.
Actualice el plugin DigiPass a una versión posterior a la 0.3.0. Esto solucionará la vulnerabilidad de descarga arbitraria de archivos. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-52378 is a HIGH severity vulnerability in DigiPass WordPress plugin allowing attackers to read arbitrary files due to improper path validation. Versions affected are those prior to 0.3.1.
Yes, if you are using DigiPass version 0.3.0 or earlier, you are vulnerable to this Arbitrary File Access vulnerability.
Upgrade DigiPass to version 0.3.1 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation if upgrading is not immediately possible.
While there's no confirmed active exploitation, public proof-of-concept exploits exist, increasing the risk of future attacks.
Refer to the Labs64 website and WordPress plugin repository for the official advisory and update information regarding CVE-2024-52378.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.