Plataforma
wordpress
Componente
woo-permalink-manager
Corregido en
2.3.11
La vulnerabilidad CVE-2024-27971 es una falla de Path Traversal descubierta en el plugin Premmerce Permalink Manager para WooCommerce. Esta falla permite a un atacante incluir archivos locales PHP, lo que podría resultar en la ejecución remota de código. Afecta a las versiones del plugin desde la versión inicial hasta la 2.3.10, y se ha solucionado en la versión 2.3.11.
Un atacante que explote esta vulnerabilidad puede subir y ejecutar código PHP arbitrario en el servidor web. Esto podría permitir el control total del sitio web, incluyendo la modificación de datos, la instalación de malware, o el robo de información sensible. La inclusión de archivos locales facilita la ejecución de código malicioso sin necesidad de autenticación, lo que amplía significativamente el riesgo. La falta de validación adecuada de las rutas de archivo permite a los atacantes manipular la entrada para acceder a archivos fuera del directorio previsto.
Esta vulnerabilidad fue publicada el 17 de mayo de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a escaneos automatizados y explotación por parte de actores maliciosos. La baja dificultad de explotación aumenta la probabilidad de que sea explotada en el futuro. No se ha añadido a KEV al momento de esta redacción.
Websites using the Premmerce Permalink Manager for WooCommerce plugin, particularly those running older versions (≤2.3.10), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over server file permissions. Sites with misconfigured file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/wp-admin/admin.php?page=premmerce-permalink-manager&file=../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Estado del Exploit
EPSS
48.09% (98% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Premmerce Permalink Manager para WooCommerce a la versión 2.3.11 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en el firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan secuencias de escape de ruta (como '../') en los parámetros de la URL. Además, revise los permisos de los archivos y directorios del plugin para asegurar que solo el usuario web tenga acceso de lectura y escritura a los archivos necesarios.
Actualice el plugin Premmerce Permalink Manager for WooCommerce a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-27971 is a Path Traversal vulnerability in Premmerce Permalink Manager for WooCommerce allowing attackers to potentially include arbitrary files, leading to sensitive information disclosure or code execution.
Yes, if you are using Premmerce Permalink Manager for WooCommerce versions 2.3.10 or earlier, you are affected by this vulnerability.
Upgrade the Premmerce Permalink Manager for WooCommerce plugin to version 2.3.11 or later. If immediate upgrade is not possible, restrict file access permissions and consider WAF rules.
While no public exploits are currently known, the vulnerability's nature makes it likely to be targeted, so prompt mitigation is crucial.
Refer to the Premmerce website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.