PT-2022-20752 · Ithemes · Ithemes Backupbuddy
Lew Ayotte & Timothy Jacobs
·
Publicado
2022-09-09
·
Atualizado
2024-05-07
·
CVE-2022-31474
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
iThemes BackupBuddy, versões 8.5.8.0 a 8.7.4.1
Descrição
O problema afeta o plugin iThemes BackupBuddy, permitindo que usuários não autorizados enviem arquivos arbitrários a partir de um site vulnerável, que possam conter informações confidenciais. Isso se deve a uma vulnerabilidade de traversal de caminho, também conhecida como limitação inadequada de um nome de caminho para um diretório restrito. Foram detectadas aproximadamente 5 milhões de tentativas de explorar essa vulnerabilidade, visando o plugin BackupBuddy, que possui cerca de 140.000 instalações ativas.
Recomendações
Para as versões 8.5.8.0 a 8.7.4.1 do iThemes BackupBuddy, atualize para a versão 8.7.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais no servidor para minimizar o risco de exploração.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ithemes Backupbuddy