Plataforma
wordpress
Componente
file-manager-advanced
Corrigido em
5.2.9
O plugin Advanced File Manager para WordPress apresenta uma vulnerabilidade de Inclusão de Arquivo JavaScript Local (JSFI) em versões até 5.2.8. Essa falha permite que atacantes autenticados, com privilégios de administrador ou superiores, incluam e executem arquivos PHP arbitrários no servidor. O impacto pode variar desde o acesso a dados sensíveis até a execução de código malicioso, comprometendo a integridade do sistema WordPress.
A exploração bem-sucedida da vulnerabilidade CVE-2024-8704 permite que um atacante autenticado com acesso de administrador inclua e execute código PHP arbitrário no servidor. Isso significa que o atacante pode, efetivamente, controlar partes do servidor WordPress. Um atacante pode usar essa vulnerabilidade para roubar informações confidenciais armazenadas no servidor, como credenciais de banco de dados, chaves de API e informações de usuários. Além disso, o atacante pode modificar arquivos do sistema, instalar malware ou até mesmo assumir o controle completo do servidor. A possibilidade de executar código arbitrário torna essa vulnerabilidade particularmente perigosa, pois permite uma ampla gama de ataques, incluindo a execução de comandos do sistema operacional.
A vulnerabilidade CVE-2024-8704 foi divulgada em 26 de setembro de 2024. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas no momento da publicação. A existência de um vetor de ataque local, combinado com a facilidade de exploração, sugere que a vulnerabilidade pode ser explorada em ambientes não corrigidos. É recomendável priorizar a correção para mitigar o risco.
WordPress websites utilizing the Advanced File Manager plugin, particularly those with administrator accounts that have not been secured with strong passwords or multi-factor authentication, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'fma_locale' /var/www/html/wp-content/plugins/advanced-file-manager/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/advanced-file-manager/?fma_locale=../../../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.49% (percentil 66%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-8704 é atualizar o plugin Advanced File Manager para uma versão corrigida, assim que disponível. Enquanto a atualização não estiver disponível, considere desativar o plugin se não for essencial. Como medida temporária, implemente regras de firewall de aplicação web (WAF) para bloquear solicitações que contenham o parâmetro 'fma_locale' com entradas suspeitas. Além disso, revise as permissões de arquivos e diretórios no servidor para garantir que apenas os usuários autorizados tenham acesso de escrita. Monitore os logs do servidor WordPress em busca de atividades suspeitas relacionadas à inclusão de arquivos.
Actualice el plugin Advanced File Manager a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la inclusión de archivos JavaScript locales.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-8704 is a Local File Inclusion vulnerability in the Advanced File Manager plugin for WordPress versions up to 5.2.8, allowing authenticated admins to execute arbitrary PHP code.
You are affected if you are using the Advanced File Manager plugin for WordPress in version 5.2.8 or earlier and have administrator-level access.
Upgrade the Advanced File Manager plugin to a patched version. If upgrading is not immediately possible, restrict file upload permissions and consider a WAF.
While there are no confirmed active campaigns, the availability of a public proof-of-concept increases the risk of exploitation.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.