Plataforma
wordpress
Componente
woocommerce-support-ticket-system
Corregido en
18.5.1
La vulnerabilidad CVE-2026-32522 representa un fallo de Acceso Arbitrario a Archivos (Path Traversal) en el sistema WooCommerce Support Ticket System. Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad de datos sensibles. Afecta a las versiones del plugin anteriores a la 18.5, y se recomienda actualizar a la versión 18.5 para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el servidor web donde está instalado el plugin WooCommerce Support Ticket System. Esto podría incluir archivos de configuración, archivos de código fuente, archivos de registro o incluso archivos de base de datos, dependiendo de los permisos del servidor. La exposición de estos archivos podría revelar información confidencial, como credenciales de base de datos, claves API, o datos personales de los usuarios. La capacidad de leer archivos arbitrarios también podría ser utilizada como un punto de apoyo para la escalada de privilegios o para la ejecución de código malicioso en el servidor, aunque esto dependería de la configuración específica del entorno.
Esta vulnerabilidad fue publicada el 2026-03-25. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace susceptible a escaneo automatizado. La puntuación CVSS de 8.6 (ALTO) indica un riesgo significativo. Se recomienda monitorear activamente los sistemas afectados.
Websites utilizing the WooCommerce Support Ticket System plugin, particularly those running older, unpatched versions (prior to 18.5), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable, as are WordPress installations with weak file permission configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-support-ticket-system/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/woocommerce-support-ticket-system/../../../../etc/passwd' # Attempt path traversaldisclosure
Estado del Exploit
EPSS
0.06% (20% percentil)
Vector CVSS
La mitigación principal para CVE-2026-32522 es actualizar el plugin WooCommerce Support Ticket System a la versión 18.5 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan secuencias de caracteres de path traversal (por ejemplo, '..'). Además, revise los permisos de los archivos y directorios del servidor para asegurar que solo los usuarios autorizados tengan acceso a ellos.
Actualizar a la versión 18.5, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32522 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a server running versions of WooCommerce Support Ticket System before 18.5. It's a path traversal issue.
You are affected if you are using WooCommerce Support Ticket System version 18.5 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the WooCommerce Support Ticket System plugin to version 18.5 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file permissions or using a WAF.
There is currently no confirmed active exploitation of CVE-2026-32522, but the vulnerability's nature makes it a potential target.
Refer to the WooCommerce Support Ticket System plugin documentation and the WordPress security announcements for the official advisory.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.