Plataforma
wordpress
Componente
wp-event-solution
Corrigido em
4.0.9
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no plugin Eventin para WordPress, afetando versões até 4.0.8. Atacantes autenticados com acesso de Contributor ou superior podem explorar essa falha para incluir e executar arquivos arbitrários no servidor. A exploração bem-sucedida pode levar à execução de código malicioso, comprometendo a confidencialidade, integridade e disponibilidade do sistema.
A vulnerabilidade LFI no Eventin permite que atacantes autenticados, mesmo com privilégios limitados (Contributor), incluam e executem código PHP arbitrário no servidor WordPress. Isso significa que um atacante pode, por exemplo, enviar um arquivo PHP malicioso, incluí-lo através da vulnerabilidade e executá-lo, obtendo controle sobre o servidor. O impacto pode variar desde a exfiltração de dados sensíveis (como informações de usuários ou dados de eventos) até a execução de comandos arbitrários no servidor, permitindo a instalação de backdoors ou a modificação de arquivos críticos do sistema. A possibilidade de executar código PHP arbitrário amplia significativamente o escopo do ataque, tornando-o uma ameaça de alta prioridade.
A vulnerabilidade CVE-2024-7149 foi divulgada em 27 de setembro de 2024. Não há informações disponíveis sobre a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS (Exploit Prediction Score System) score. Ainda não há relatos públicos de exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade LFI a torna um alvo potencial para exploração automatizada e ataques oportunistas. Consulte o aviso oficial do WordPress para obter informações adicionais.
Websites utilizing the Eventin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unable to implement effective mitigation measures beyond plugin updates.
• wordpress / composer / npm:
grep -r 'style=' /var/www/html/wp-content/plugins/eventin/• wordpress / composer / npm:
wp plugin list | grep eventin• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
Status do Exploit
EPSS
0.71% (percentil 72%)
CISA SSVC
Vetor CVSS
A mitigação imediata para CVE-2024-7149 é atualizar o plugin Eventin para a versão corrigida (superior a 4.0.8) assim que estiver disponível. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso a arquivos sensíveis no servidor e implementar regras de firewall (WAF) para bloquear tentativas de inclusão de arquivos maliciosos. Além disso, revise as permissões de arquivos e diretórios para garantir que apenas usuários autorizados tenham acesso de escrita. Monitore os logs do servidor WordPress em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados ou execução de código desconhecido.
Actualice el plugin Eventin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes autenticados ejecutar código PHP arbitrario en el servidor. La actualización corrige esta vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-7149 is a Local File Inclusion vulnerability in the Eventin WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Eventin plugin versions 4.0.8 or earlier. Check your plugin version and upgrade as soon as a patch is available.
Upgrade the Eventin plugin to the latest version as soon as a patch is released by the vendor. Until then, restrict file upload permissions and implement input validation.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests active exploitation is possible.
Check the Eventin plugin website and WordPress plugin repository for the official advisory and patch release.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.