Plataforma
wordpress
Componente
wp-cookies-enabler
Corrigido em
1.0.2
Uma vulnerabilidade de Path Traversal foi descoberta no plugin WP Cookies Enabler, permitindo a Inclusão de Arquivo Local (LFI) PHP. Essa falha permite que um atacante inclua arquivos arbitrários no servidor, potencialmente levando à execução remota de código. A vulnerabilidade afeta versões do plugin WP Cookies Enabler anteriores ou iguais a 1.0.1, e foi corrigida na versão 1.0.2.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos arbitrários no servidor web. Isso pode levar à divulgação de informações confidenciais, como arquivos de configuração, código-fonte do WordPress ou outros arquivos sensíveis armazenados no servidor. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do site WordPress. A inclusão de arquivos pode ser explorada remotamente, sem a necessidade de autenticação, tornando-a uma ameaça significativa para sites WordPress não corrigidos.
A vulnerabilidade foi divulgada em 16 de dezembro de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV). A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. É recomendável aplicar as medidas de mitigação o mais rápido possível.
Websites using the WP Cookies Enabler plugin, particularly those running older versions (≤1.0.1), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites with weak file access permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-cookies-enabler/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/wp-cookies-enabler/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.18% (percentil 40%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin WP Cookies Enabler para a versão 1.0.2 ou superior. Se a atualização imediata não for possível, considere restringir o acesso ao diretório do plugin através de permissões de arquivo apropriadas no servidor. Implementar um Web Application Firewall (WAF) com regras para bloquear tentativas de inclusão de arquivo pode fornecer uma camada adicional de proteção. Monitore os logs do servidor em busca de padrões suspeitos de acesso a arquivos, como solicitações com sequências ../.
Actualice el plugin WP Cookies Enabler a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-54380 is a Path Traversal vulnerability in WP Cookies Enabler allowing attackers to potentially include arbitrary files, leading to sensitive information disclosure or code execution.
Yes, if you are using WP Cookies Enabler version 1.0.1 or earlier, you are affected by this vulnerability.
Upgrade WP Cookies Enabler to version 1.0.2 or later. As a temporary workaround, restrict file access permissions and implement WAF rules.
While no active exploitation has been widely reported, the vulnerability is well-understood and the plugin's popularity makes it a potential target.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.