Plataforma
wordpress
Componente
woocommerce-openpos
Corregido en
6.4.5
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos (Path Traversal) en el plugin Woocommerce OpenPos. Esta falla permite a un atacante manipular archivos en el sistema, comprometiendo potencialmente la confidencialidad e integridad de los datos. La vulnerabilidad afecta a las versiones del plugin desde la versión desconocida hasta la 6.4.4, y se recomienda actualizar a la versión 6.4.5 para solucionar el problema.
La vulnerabilidad de Path Traversal en Woocommerce OpenPos permite a un atacante acceder a archivos arbitrarios en el servidor web. Esto podría incluir archivos de configuración sensibles, código fuente, o incluso archivos del sistema operativo. Un atacante podría leer, modificar o incluso eliminar estos archivos, lo que podría resultar en la pérdida de datos, la ejecución de código malicioso o el control total del servidor. La manipulación de archivos podría permitir la inyección de código malicioso en el sitio web, comprometiendo a los usuarios y a la información almacenada. Esta vulnerabilidad es particularmente preocupante en entornos de comercio electrónico donde se manejan datos confidenciales de clientes.
La vulnerabilidad CVE-2024-37932 fue publicada el 12 de julio de 2024. Actualmente no se dispone de información sobre campañas de explotación activas. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La existencia de un PoC público podría aumentar la probabilidad de explotación.
Websites utilizing Woocommerce OpenPos plugin, particularly those running older versions (≤6.4.4), are at risk. Shared hosting environments where file system permissions are not tightly controlled are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-openpos/*• generic web:
curl -I https://your-website.com/wp-content/plugins/woocommerce-openpos/../../../../etc/passwd # Check for path traversaldisclosure
Estado del Exploit
EPSS
0.42% (62% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-37932 es actualizar Woocommerce OpenPos a la versión 6.4.5 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de Path Traversal (por ejemplo, '../'). Además, revise los permisos de los archivos y directorios para asegurar que solo los usuarios autorizados tengan acceso a ellos. Verifique que la actualización se haya aplicado correctamente revisando la versión del plugin en el panel de administración de WordPress.
Actualice el plugin Woocommerce OpenPos a una versión posterior a la 6.4.4. Esto solucionará la vulnerabilidad de eliminación arbitraria de archivos. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-37932 is a HIGH severity vulnerability allowing attackers to manipulate files in Woocommerce OpenPos versions up to 6.4.4, potentially leading to data exposure or server compromise.
You are affected if you are using Woocommerce OpenPos version 6.4.4 or earlier. Upgrade to version 6.4.5 to resolve the vulnerability.
Upgrade Woocommerce OpenPos to version 6.4.5 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature makes it likely that exploitation attempts will occur.
Refer to the official Woocommerce security advisory for details: [https://woocommerce.com/security/](https://woocommerce.com/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.