Plataforma
wordpress
Componente
opal-woo-custom-product-variation
Corregido en
1.1.4
La vulnerabilidad CVE-2024-52444 es una falla de Path Traversal detectada en el plugin Opal Woo Custom Product Variation para WordPress. Esta falla permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad e integridad de los datos. Afecta a las versiones del plugin desde la versión desconocida hasta la 1.1.3, y se ha solucionado en la versión 1.1.4.
Un atacante que explote esta vulnerabilidad puede leer archivos sensibles en el servidor web, como archivos de configuración, contraseñas o código fuente. Esto podría conducir a la divulgación de información confidencial, la ejecución de código malicioso o el control total del servidor. La severidad de esta vulnerabilidad radica en su potencial para comprometer la seguridad de la tienda online y los datos de los clientes. La falta de una validación adecuada de las rutas de archivo permite a los atacantes eludir las restricciones de acceso y acceder a recursos no autorizados.
La vulnerabilidad fue publicada el 20 de noviembre de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace fácilmente explotable. La ausencia de una puntuación EPSS indica una evaluación inicial de baja a media probabilidad de explotación. Se recomienda monitorear activamente los sistemas afectados.
WordPress websites utilizing the Opal Woo Custom Product Variation plugin, particularly those hosting sensitive data or running older, unpatched versions (≤1.1.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Attempt path traversaldisclosure
Estado del Exploit
EPSS
0.16% (37% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-52444 es actualizar el plugin Opal Woo Custom Product Variation a la versión 1.1.4 o superior. Si la actualización no es posible de inmediato, considere implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres de path traversal (../). Además, revise los permisos de archivo en el servidor para asegurar que solo los usuarios autorizados tengan acceso a archivos sensibles. Después de la actualización, verifique que la vulnerabilidad se haya solucionado intentando acceder a un archivo fuera del directorio esperado y confirmando que se deniega el acceso.
Actualice el plugin Opal Woo Custom Product Variation a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-52444 is a HIGH severity vulnerability allowing attackers to read files outside intended directories in Opal Woo Custom Product Variation versions ≤1.1.3 due to improper path validation.
You are affected if you are using Opal Woo Custom Product Variation version 1.1.3 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Opal Woo Custom Product Variation plugin to version 1.1.4 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official Opal Woo website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.