Plataforma
wordpress
Componente
wc-product-table-lite
Corregido en
3.8.7
La vulnerabilidad CVE-2024-10899 afecta al plugin WooCommerce Product Table Lite para WordPress, permitiendo la ejecución de shortcodes arbitrarios. Esta falla de seguridad, presente en versiones hasta la 3.8.6, se debe a una validación insuficiente de los valores antes de ejecutar la función do_shortcode. El plugin es ampliamente utilizado para mostrar tablas de productos en tiendas WordPress, lo que amplía su superficie de ataque. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad para inyectar código JavaScript malicioso en la página web, comprometiendo la seguridad de los usuarios y la integridad de la tienda online. La ejecución de shortcodes arbitrarios permite al atacante modificar el contenido de la página, redirigir a sitios maliciosos, robar cookies de sesión o incluso ejecutar código en el servidor si existen otras vulnerabilidades presentes. Esta vulnerabilidad es particularmente peligrosa porque no requiere autenticación, lo que significa que cualquier usuario anónimo puede potencialmente explotarla. La inyección de scripts puede llevar al robo de información sensible de los clientes, como credenciales de inicio de sesión o datos de tarjetas de crédito, lo que podría resultar en pérdidas financieras significativas y daños a la reputación.
Esta vulnerabilidad fue publicada el 20 de noviembre de 2024. No se ha reportado su inclusión en el KEV de CISA, pero la naturaleza de la vulnerabilidad (XSS sin autenticación) sugiere un riesgo medio de explotación. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la facilidad de explotación podría llevar a su proliferación. Se recomienda monitorear activamente los registros del servidor y las alertas de seguridad para detectar posibles intentos de explotación.
Websites utilizing the WooCommerce Product Table Lite plugin, particularly those running versions 3.8.6 or earlier, are at risk. Shared hosting environments where plugin updates are not managed by the website owner are especially vulnerable. Sites with weak security configurations or those lacking regular security scans are also at increased risk.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/product-table-lite/• wordpress / composer / npm:
wp plugin list --status=all | grep 'product-table-lite'• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/product-table-lite/ | grep -i 'X-Powered-By'disclosure
Estado del Exploit
EPSS
0.71% (72% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WooCommerce Product Table Lite a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda deshabilitar temporalmente el plugin o restringir el acceso a las páginas que lo utilizan. Como medida adicional, se puede implementar una Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de inyección de shortcodes. Además, es crucial revisar y fortalecer las políticas de seguridad del sitio WordPress, incluyendo la implementación de contraseñas seguras y la habilitación de la autenticación de dos factores.
Actualice el plugin WooCommerce Product Table Lite a la última versión disponible. La vulnerabilidad permite la ejecución de shortcodes arbitrarios y XSS, por lo que es crucial actualizar para proteger su sitio web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-10899 is a Cross-Site Scripting vulnerability affecting WooCommerce Product Table Lite versions up to 3.8.6, allowing attackers to execute arbitrary shortcodes.
Yes, if you are using WooCommerce Product Table Lite version 3.8.6 or earlier, you are vulnerable to this XSS attack.
Upgrade WooCommerce Product Table Lite to the latest version, which includes a patch for this vulnerability. Consider WAF rules as an interim measure.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation makes it a high-priority risk.
Refer to the WooCommerce Product Table Lite plugin documentation and website for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.