Plataforma
wordpress
Componente
frontend-dashboard
Corrigido em
2.2.5
O plugin Frontend Dashboard para WordPress apresenta uma vulnerabilidade de execução de código não autorizada (RCE). Essa falha ocorre devido à falta de filtragem adequada em métodos/funções chamáveis através da função ajax_request(), permitindo que atacantes autenticados com privilégios de assinante ou superiores executem código arbitrário. Versões afetadas incluem todas as versões até, e incluindo, 2.2.4. A correção foi disponibilizada na versão 2.2.5.
Um atacante autenticado, com acesso de assinante ou superior, pode explorar essa vulnerabilidade para executar código arbitrário no servidor WordPress. Isso pode levar à escalada de privilégios, permitindo que o atacante modifique dados, instale malware ou comprometa completamente o site. A capacidade de executar código arbitrário representa um risco significativo, pois o atacante pode efetivamente assumir o controle do servidor. A vulnerabilidade é particularmente preocupante porque requer apenas um nível de acesso relativamente baixo (assinante), tornando-a acessível a um grande número de usuários.
A vulnerabilidade foi divulgada publicamente em 2024-09-10. Não há evidências de exploração ativa em campanhas em larga escala no momento da redação. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um ponto de entrada de fácil acesso (assinante) e a possibilidade de escalada de privilégios tornam essa vulnerabilidade um alvo atraente para atacantes.
Websites using the Frontend Dashboard plugin, particularly those with subscriber-level users who have access to the frontend dashboard functionality, are at risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'ajax_request(' /var/www/html/wp-content/plugins/frontend-dashboard/• wordpress / composer / npm:
wp plugin list --status=active | grep 'frontend-dashboard'• wordpress / composer / npm:
wp plugin update frontend-dashboard --version=2.2.5• generic web: Check WordPress plugin directory for reports of exploitation or discussions related to CVE-2024-8268.
disclosure
Status do Exploit
EPSS
0.36% (percentil 58%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Frontend Dashboard para a versão 2.2.5 ou superior. Se a atualização imediata não for possível, considere restringir o acesso à função ajaxrequest() através de um firewall de aplicação web (WAF) ou regras de proxy, bloqueando solicitações suspeitas. Além disso, revise as permissões de usuário no WordPress, garantindo que os usuários com acesso de assinante tenham privilégios mínimos necessários. Após a atualização, confirme a correção verificando se a função ajaxrequest() está devidamente protegida contra a execução de código não autorizado.
Actualice el plugin Frontend Dashboard a la versión 2.2.5 o superior. Esta versión contiene una corrección para la vulnerabilidad de ejecución de código arbitrario. La actualización se puede realizar desde el panel de administración de WordPress.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-8268 is a Remote Code Execution vulnerability in the Frontend Dashboard WordPress plugin, allowing authenticated subscribers to execute arbitrary code.
You are affected if you are using the Frontend Dashboard plugin version 2.2.4 or earlier.
Upgrade the Frontend Dashboard plugin to version 2.2.5 or later to resolve the vulnerability.
While no confirmed active exploitation campaigns are known, the vulnerability's ease of exploitation makes it a potential target.
Refer to the Frontend Dashboard plugin's official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.