Plataforma
wordpress
Componente
ultimate-classified-listings
Corrigido em
1.4.1
A vulnerabilidade CVE-2024-52448 é uma falha de Path Traversal descoberta no plugin Ultimate Classified Listings para WordPress. Essa falha permite a inclusão de arquivos PHP localmente, o que pode levar à execução de código malicioso no servidor. Versões do plugin Ultimate Classified Listings anteriores ou iguais a 1.4 são afetadas. A correção foi lançada na versão 1.4.1.
Um atacante pode explorar essa vulnerabilidade para incluir arquivos PHP arbitrários no servidor, potencialmente obtendo acesso a informações confidenciais, como arquivos de configuração, senhas ou até mesmo código-fonte do aplicativo. A inclusão de arquivos pode ser utilizada para executar comandos no servidor, permitindo o controle total do sistema. O impacto é significativo, pois a exploração bem-sucedida pode levar à comprometimento completo do servidor WordPress e de todos os dados associados. Essa vulnerabilidade se assemelha a outras falhas de Path Traversal que permitiram a exfiltração de dados sensíveis e a instalação de malware.
A vulnerabilidade foi publicada em 20 de novembro de 2024. Não há informações disponíveis sobre a inclusão em KEV ou sobre a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a natureza da vulnerabilidade a torna um alvo potencial para exploração. É recomendável monitorar a situação e aplicar as medidas de mitigação o mais rápido possível.
WordPress websites utilizing the Ultimate Classified Listings plugin, particularly those running versions 1.4 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable, as are sites with outdated or unmanaged WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-classified-listings/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/ultimate-classified-listings/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.22% (percentil 44%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Ultimate Classified Listings para a versão 1.4.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório. Implementar um Web Application Firewall (WAF) com regras para bloquear tentativas de inclusão de arquivos maliciosos também pode ajudar. Monitore os logs do servidor em busca de tentativas de acesso a arquivos não autorizados.
Actualice el plugin Ultimate Classified Listings a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de inclusión de archivos locales.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-52448 is a Path Traversal vulnerability in the Ultimate Classified Listings WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Ultimate Classified Listings version 1.4 or earlier, you are affected by this vulnerability.
Upgrade to version 1.4.1 or later to remediate the vulnerability. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the WebCodingPlace website and WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.