Plataforma
wordpress
Componente
classic-addons-wpbakery-page-builder-addons
Corrigido em
3.0.1
A vulnerabilidade CVE-2024-56286 é uma falha de Path Traversal descoberta no plugin Classic Addons – WPBakery Page Builder. Esta falha permite a Inclusão de Arquivos PHP Local (LFI), possibilitando a execução remota de código em sistemas vulneráveis. A vulnerabilidade afeta versões do plugin anteriores ou iguais a 3.0, sendo crucial a atualização para a versão 3.0.1 para mitigar o risco.
Um atacante explorando esta vulnerabilidade pode incluir arquivos arbitrários no servidor, potencialmente executando código malicioso. Isso pode levar ao comprometimento completo do servidor WordPress, incluindo a exfiltração de dados sensíveis, modificação de arquivos do sistema e instalação de backdoors persistentes. A inclusão de arquivos PHP local permite que o atacante acesse e modifique arquivos de configuração, scripts e outros recursos críticos do servidor, elevando o nível de acesso e controlando o ambiente. A ausência de validação adequada do caminho do arquivo permite que o atacante manipule a requisição para acessar arquivos fora do diretório esperado.
A vulnerabilidade CVE-2024-56286 foi divulgada em 2025-01-07. Não há informações disponíveis sobre exploração ativa ou inclusão em catálogos KEV (CISA). A ausência de um Proof of Concept (PoC) publicamente disponível dificulta a avaliação precisa da probabilidade de exploração, mas a natureza da vulnerabilidade (Path Traversal) a torna um alvo potencial para atacantes. A complexidade da exploração pode variar dependendo da configuração do servidor e das permissões de arquivo.
WordPress websites utilizing the Classic Addons – WPBakery Page Builder plugin, particularly those running versions 3.0 or earlier, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security. Websites with weak file access permissions are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/classic-addons-wpbakery-page-builder/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/classic-addons-wpbakery-page-builder/../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.22% (percentil 44%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-56286 é a atualização imediata do plugin Classic Addons – WPBakery Page Builder para a versão 3.0.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de uploads do WordPress e monitorar os logs do servidor em busca de atividades suspeitas. Implementar regras de firewall (WAF) para bloquear requisições com padrões de path traversal (../) também pode ajudar a mitigar o risco. Após a atualização, verifique se o plugin está funcionando corretamente e se não há novos erros ou conflitos.
Actualice el plugin Classic Addons – WPBakery Page Builder a una versión posterior a la 3.0. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una versión corregida. Revise las notas de la versión actualizada para confirmar que la vulnerabilidad ha sido solucionada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-56286 is a Path Traversal vulnerability in Classic Addons – WPBakery Page Builder allowing PHP Local File Inclusion, potentially leading to code execution.
Yes, if you are using Classic Addons – WPBakery Page Builder version 3.0 or earlier, you are affected by this vulnerability.
Upgrade to version 3.0.1 or later to resolve the vulnerability. If immediate upgrade isn't possible, implement temporary restrictions.
Currently, there are no confirmed active exploitation campaigns, but the vulnerability's nature suggests a potential for future exploitation.
Refer to the official Classic Addons website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.