Plataforma
wordpress
Componente
woo-product-design
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de acceso arbitrario de archivos (Path Traversal) en el plugin Woocommerce Product Design. Esta vulnerabilidad permite a un atacante leer archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad de datos sensibles. Afecta a las versiones del plugin menores o iguales a 1.0.0. Una actualización a la versión 1.0.1 resuelve esta vulnerabilidad.
La vulnerabilidad de Path Traversal en Woocommerce Product Design permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de bases de datos, exponiendo información confidencial. Un atacante podría utilizar esta vulnerabilidad para obtener credenciales de acceso, modificar archivos del sistema, o incluso ejecutar código malicioso en el servidor, dependiendo de los permisos del usuario web. La severidad de este impacto se agrava por la popularidad de WooCommerce y la posibilidad de que muchos sitios web sean vulnerables.
Esta vulnerabilidad ha sido publicada el 30 de octubre de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace susceptible a escaneos automatizados y explotación por parte de atacantes. Se recomienda monitorear los sistemas para detectar actividad sospechosa. La vulnerabilidad no figura en el KEV de CISA al momento de esta redacción.
WordPress sites utilizing the Woocommerce Product Design plugin, particularly those running older versions (≤1.0.0), are at risk. Shared hosting environments where plugin updates are not managed by the user are also particularly vulnerable, as are sites with weak file permission configurations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/woocommerce-product-design/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/woocommerce-product-design/../../../../etc/passwd' # Attempt path traversaldisclosure
Estado del Exploit
EPSS
14.77% (94% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Woocommerce Product Design a la versión 1.0.1 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen la configuración de reglas en un Web Application Firewall (WAF) para bloquear solicitudes con patrones de Path Traversal, como secuencias de '..'. También es crucial validar y sanitizar todas las entradas de usuario para prevenir la inyección de caracteres maliciosos. Implementar un sistema de permisos restrictivo para el usuario web también puede limitar el daño potencial en caso de una explotación exitosa.
Actualice el plugin Woocommerce Product Design a una versión posterior a la 1.0.0, si está disponible. Si no hay una versión corregida disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que solucione la vulnerabilidad. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-50509 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in Woocommerce Product Design versions up to 1.0.0, potentially exposing sensitive data.
You are affected if you are using Woocommerce Product Design version 1.0.0 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Woocommerce Product Design plugin to version 1.0.1 or later. Consider implementing a WAF rule to block path traversal attempts as a temporary workaround.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a high probability of exploitation. Monitor security advisories for updates.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.