Resumen ejecutivo
Se ha identificado una vulnerabilidad de divulgación de rutas completas en el plugin MaxButtons para WordPress, que afecta a las versiones hasta la 9.7.8. Esta vulnerabilidad tiene una severidad media con un CVSS de 5.3.
Fuente base de datos: Wordfence Intelligence
WordPress Button Plugin MaxButtons <= 9.7.8 - Full Path Disclosure
PLUGIN
MEDIUM
CVE-2024-6499
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo permite a un atacante acceder a rutas del sistema de archivos del servidor, lo que puede facilitar la obtención de información sensible. La superficie de ataque se centra en la forma en que el plugin maneja las solicitudes, exponiendo potencialmente información crítica.
Impacto potencial
La explotación de esta vulnerabilidad podría comprometer la seguridad del servidor, permitiendo a un atacante obtener información que podría ser utilizada para realizar ataques más sofisticados. Esto puede llevar a la pérdida de datos o a la toma de control del sitio web.
Vector de explotación
Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas que revelan rutas del sistema de archivos. Esto se puede lograr mediante la interacción con formularios o parámetros del plugin.
Mitigación recomendada
Se recomienda actualizar el plugin MaxButtons a la versión 9.8.0 o superior. Además, se sugiere revisar los registros de acceso para detectar actividades inusuales y aplicar medidas de seguridad adicionales en el servidor.
Señales de detección
Señales de posible explotación incluyen accesos inusuales a archivos de configuración o intentos de acceder a rutas del sistema de archivos que no deberían ser accesibles.
Alcance afectado
Las versiones del plugin MaxButtons hasta la 9.7.8 están afectadas. Es crucial que los usuarios de este plugin verifiquen su versión y apliquen la actualización correspondiente.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
maxbuttons
MaxButtons <= 9.8.3 - Authenticated (Administrator+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
maxbuttons
WordPress Button Plugin MaxButtons <= 9.8.0 - Authenticated (Admin+) Stored Cross-Site Scripting via Button Width
MEDIUM
PLUGIN
maxbuttons
WordPress Button Plugin MaxButtons <= 9.8.0 - Authenticated (Admin+) Stored Cross-Site Scripting via Text Color
MEDIUM
PLUGIN
maxbuttons
WordPress Button Plugin MaxButtons <= 9.7.7 - Authenticated (Editor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
maxbuttons
WordPress Button Plugin MaxButtons <= 9.7.6 - Authenticated(Contributor+) Stored Cross-Site Scripting via shortcode
MEDIUM
PLUGIN
maxbuttons
WordPress Button Plugin MaxButtons <= 9.7.4 - Authenticated (Administrator+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
maxbuttons
MaxButtons <= 9.5.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode
HIGH
PLUGIN
maxbuttons
WordPress Button Plugin MaxButtons <= 9.2 - Cross-Site Request Forgery
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto