Plataforma
wordpress
Componente
woocommerce-checkout-field-editor-pro
Corregido en
3.6.3
La vulnerabilidad CVE-2024-35658 es una falla de Path Traversal detectada en el plugin Checkout Field Editor for WooCommerce (Pro). Esta falla permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo la integridad y confidencialidad de los datos. Afecta a las versiones del plugin desde la versión inicial hasta la 3.6.2. La solución es actualizar a la versión 3.6.3.
Un atacante que explote esta vulnerabilidad puede leer archivos sensibles en el servidor web, incluyendo archivos de configuración, código fuente, o incluso archivos de base de datos. Esto podría resultar en la exposición de información confidencial, la modificación de la funcionalidad del sitio web, o incluso la toma del control del servidor. La capacidad de acceder a archivos arbitrarios amplía significativamente el radio de impacto, permitiendo potencialmente el acceso a otros sistemas en la misma red si las credenciales se ven comprometidas. La manipulación de archivos podría usarse para inyectar código malicioso, como puertas traseras, que permitan el acceso persistente al sistema.
La vulnerabilidad CVE-2024-35658 fue publicada el 10 de junio de 2024. No se ha reportado explotación activa a la fecha, pero la naturaleza de la vulnerabilidad de Path Traversal la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas afectados y aplicar la actualización lo antes posible. La vulnerabilidad no se encuentra en el KEV de CISA al momento de la redacción.
Websites using WooCommerce with the Checkout Field Editor for WooCommerce (Pro) plugin, particularly those running older versions (≤3.6.2), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher concentration of WooCommerce installations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/checkout-field-editor-for-woocommerce-pro/*• generic web:
curl -I 'https://your-website.com/wp-content/plugins/checkout-field-editor-for-woocommerce-pro/../../../../etc/passwd' # Check for directory traversaldisclosure
Estado del Exploit
EPSS
0.25% (48% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-35658 es actualizar el plugin Checkout Field Editor for WooCommerce (Pro) a la versión 3.6.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida adicional, se recomienda implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de caracteres sospechosas en la ruta del archivo. Revise los logs del servidor en busca de intentos de acceso a archivos no autorizados.
Actualice el plugin Checkout Field Editor for WooCommerce (Pro) a la última versión disponible. La vulnerabilidad permite la eliminación arbitraria de archivos, por lo que es crucial actualizar para proteger su sitio web. Si no hay una versión disponible, considere deshabilitar el plugin temporalmente hasta que se publique una actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-35658 is a HIGH severity vulnerability in Checkout Field Editor for WooCommerce (Pro) allowing attackers to access files outside the intended directory. It affects versions ≤3.6.2 and has a CVSS score of 8.6.
Yes, if you are using Checkout Field Editor for WooCommerce (Pro) version 3.6.2 or earlier, you are vulnerable to this Arbitrary File Access issue.
Upgrade to Checkout Field Editor for WooCommerce (Pro) version 3.6.3 or later to resolve the vulnerability. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the official ThemeHigh website and WooCommerce security resources for the latest advisory and updates regarding CVE-2024-35658.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.