Plataforma
wordpress
Componente
woo-product-design
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de acceso arbitrario de archivos (Path Traversal) en el plugin Woocommerce Product Design. Esta vulnerabilidad permite a un atacante leer archivos arbitrarios en el servidor, comprometiendo potencialmente información confidencial. Afecta a las versiones del plugin menores o iguales a 1.0.0. Una actualización a la versión 1.0.1 resuelve esta vulnerabilidad.
La vulnerabilidad de Path Traversal en Woocommerce Product Design permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto puede incluir archivos de configuración, código fuente, o incluso archivos de registro que contengan credenciales sensibles. Un atacante podría utilizar esta vulnerabilidad para obtener información confidencial sobre el servidor y la aplicación, o para ejecutar código malicioso si se encuentran archivos ejecutables accesibles. La exposición de archivos de configuración podría revelar contraseñas de bases de datos o claves API, facilitando el acceso a otros sistemas.
Esta vulnerabilidad fue publicada el 30 de octubre de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace susceptible a escaneos automatizados y pruebas de penetración. La baja complejidad de la explotación aumenta la probabilidad de que sea utilizada en ataques. No se ha añadido a KEV al momento de la redacción.
WordPress websites utilizing the Woocommerce Product Design plugin, particularly those running older versions (≤1.0.0), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable, as are sites with weak file permission configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-product-design/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woocommerce-product-design/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
12.65% (94% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Woocommerce Product Design a la versión 1.0.1 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas incluyen la configuración de reglas en un Web Application Firewall (WAF) para bloquear solicitudes con patrones de Path Traversal (por ejemplo, ../). Además, es crucial validar y sanitizar todas las entradas de usuario para evitar la inyección de caracteres especiales que puedan manipular las rutas de los archivos. Verificar que el servidor web tenga permisos restrictivos en los directorios accesibles.
Actualice el plugin Woocommerce Product Design a una versión posterior a la 1.0.0, si existe, que corrija la vulnerabilidad de Path Traversal. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización segura. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-50508 is a HIGH severity vulnerability allowing attackers to read files outside the intended directory in Woocommerce Product Design versions up to 1.0.0.
You are affected if you are using Woocommerce Product Design version 1.0.0 or earlier. Check your plugin version and upgrade immediately.
Upgrade to Woocommerce Product Design version 1.0.1 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that it will be exploited once a proof-of-concept is available.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.