Plataforma
wordpress
Componente
woozone
Corregido en
14.0.11
14.1.00
La vulnerabilidad CVE-2024-33549 es una escalada de privilegios que afecta al plugin WooCommerce Amazon Affiliates para WordPress. Esta falla permite a atacantes autenticados, con un nivel de acceso de suscriptor o superior, obtener privilegios administrativos sin autorización. La vulnerabilidad se encuentra presente en todas las versiones del plugin hasta la 14.1.00, y se ha solucionado en la versión 14.1.00.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a funcionalidades administrativas dentro del sitio WordPress. Esto podría incluir la modificación de la configuración del plugin, la manipulación de datos de afiliados, o incluso la toma de control total del sitio web. El impacto es significativo, ya que un atacante con privilegios elevados podría comprometer la integridad y confidencialidad de los datos del sitio y de sus usuarios. La escalada de privilegios permite eludir los controles de acceso normales, facilitando la ejecución de acciones maliciosas que de otro modo estarían restringidas.
La vulnerabilidad fue publicada el 25 de abril de 2024. No se han reportado campañas de explotación activas a la fecha. No se ha añadido a la lista KEV de CISA. La disponibilidad de un proof-of-concept público podría aumentar el riesgo de explotación.
Websites utilizing the WooCommerce Amazon Affiliates plugin, particularly those with a large number of subscriber-level users or those lacking robust access control mechanisms, are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they have not yet applied the patch.
• wordpress / composer / npm:
wp plugin list --status=active | grep 'WooCommerce Amazon Affiliates'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep 'WooCommerce Amazon Affiliates'• wordpress / composer / npm:
wp plugin list --all | grep 'WooCommerce Amazon Affiliates' | awk '{print $1}' | sort -ndisclosure
Estado del Exploit
EPSS
0.46% (64% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WooCommerce Amazon Affiliates a la versión 14.1.00 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar restricciones de roles y permisos dentro de WordPress para limitar las acciones que los usuarios con acceso de suscriptor pueden realizar. Revisar y auditar los permisos de usuario existentes es crucial. Considerar el uso de un plugin de seguridad de WordPress que pueda detectar y prevenir intentos de escalada de privilegios. Después de la actualización, verificar que los roles de usuario estén correctamente configurados y que los usuarios no tengan permisos innecesarios.
Actualizar a la versión 14.1.00, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-33549 is a privilege escalation vulnerability affecting the WooCommerce Amazon Affiliates WordPress plugin, allowing authenticated subscribers to gain higher privileges.
You are affected if you are using WooCommerce Amazon Affiliates version 14.1.00 or earlier. Upgrade to 14.1.00 to resolve the issue.
Upgrade the WooCommerce Amazon Affiliates plugin to version 14.1.00 or later. Review user roles and permissions for added security.
There is currently no confirmed active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the WooCommerce website and WordPress plugin repository for the latest security advisories and updates related to CVE-2024-33549.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.