Plataforma
wordpress
Componente
woocommerce-pdf-vouchers
Corregido en
4.9.5
Se ha identificado una vulnerabilidad de Acceso Arbitrario de Archivos (Path Traversal) en el plugin WooCommerce PDF Vouchers. Esta falla permite a un atacante manipular archivos en el servidor, comprometiendo potencialmente la confidencialidad e integridad de los datos. La vulnerabilidad afecta a las versiones del plugin anteriores a 4.9.5 y se ha solucionado en la versión 4.9.5.
La vulnerabilidad de Path Traversal en WooCommerce PDF Vouchers permite a un atacante acceder a archivos arbitrarios en el servidor web. Un atacante podría, por ejemplo, leer archivos de configuración sensibles, código fuente o incluso archivos de base de datos. La manipulación de archivos podría llevar a la ejecución remota de código si se accede a archivos ejecutables o a la modificación de archivos críticos del sistema. El impacto potencial es significativo, pudiendo resultar en la completa toma de control del servidor web y la exposición de información confidencial de los clientes.
Esta vulnerabilidad ha sido publicada el 13 de agosto de 2024. No se han reportado activamente campañas de explotación a gran escala, pero la naturaleza de Path Traversal la hace susceptible a escaneos automatizados y explotación por parte de actores maliciosos. La disponibilidad de un POC público podría acelerar la explotación. Se recomienda monitorear los registros del servidor web en busca de patrones de acceso inusuales.
Websites utilizing WooCommerce PDF Vouchers plugin versions prior to 4.9.5 are at risk. This includes e-commerce sites selling digital products and those relying on the plugin for voucher management. Shared hosting environments are particularly vulnerable due to the potential for cross-site contamination.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-pdf-vouchers/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woocommerce-pdf-vouchers/includes/some-file..\/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive woocommerce-pdf-vouchersdisclosure
Estado del Exploit
EPSS
0.31% (54% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar WooCommerce PDF Vouchers a la versión 4.9.5 o posterior. Si la actualización no es inmediatamente posible, se recomienda implementar restricciones de acceso a archivos en el servidor web para limitar el alcance de la vulnerabilidad. Esto puede incluir la configuración de reglas en el servidor web (Apache, Nginx) para denegar el acceso a directorios sensibles o la implementación de una WAF (Web Application Firewall) para filtrar solicitudes maliciosas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes de acceso a archivos fuera del directorio esperado sean bloqueadas.
Actualice el plugin WooCommerce PDF Vouchers a la versión 4.9.5 o superior. Esta actualización corrige la vulnerabilidad de eliminación arbitraria de archivos. Para actualizar, vaya a la sección de plugins en su panel de administración de WordPress y busque la actualización disponible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-39651 is a HIGH severity vulnerability allowing attackers to manipulate files in WooCommerce PDF Vouchers versions ≤4.9.5, potentially leading to data exposure and server compromise.
You are affected if you are using WooCommerce PDF Vouchers version 4.9.5 or earlier. Immediately check your plugin version and upgrade if necessary.
Upgrade WooCommerce PDF Vouchers to version 4.9.5 or later. Consider implementing WAF rules and restricting file upload permissions as temporary mitigations.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation. Continuous monitoring is recommended.
Refer to the WooCommerce PDF Vouchers plugin documentation and the WPWeb website for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.