Plugin WordPress WooCommerce Support Ticket System < 18.5 - Vulnérabilité de suppression de fichier arbitraire
Plateforme
wordpress
Composant
woocommerce-support-ticket-system
Corrigé dans
18.5.1
La vulnérabilité CVE-2026-32522 représente un défaut d'accès arbitraire de fichier (Path Traversal) au sein du système WooCommerce Support Ticket System. Cette faille permet à un attaquant de contourner les restrictions d'accès et de lire des fichiers situés en dehors du répertoire prévu. Elle affecte les versions du plugin antérieures à la version 18.5 et une correction a été déployée dans la version 18.5.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers sensibles stockés sur le serveur web, tels que des fichiers de configuration, des clés API, ou même des données sensibles des utilisateurs. L'attaquant pourrait ainsi obtenir des informations confidentielles, compromettre la sécurité du système, ou même exécuter du code malveillant si des fichiers exécutables sont accessibles. Le risque est accru si le serveur web héberge d'autres applications ou services, car l'attaquant pourrait utiliser cette vulnérabilité comme point de départ pour des attaques plus larges.
Contexte d'Exploitation
Cette vulnérabilité a été rendue publique le 25 mars 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable par des attaquants. La probabilité d'exploitation est considérée comme moyenne en raison de la facilité d'identification et d'exploitation de ce type de vulnérabilité. Il est recommandé de prendre des mesures de protection rapidement.
Qui Est à Risquetraduction en cours…
Websites utilizing the WooCommerce Support Ticket System plugin, particularly those running older, unpatched versions (prior to 18.5), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable, as are WordPress installations with weak file permission configurations.
Étapes de Détectiontraduction en cours…
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-support-ticket-system/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/woocommerce-support-ticket-system/../../../../etc/passwd' # Attempt path traversalChronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Aucun — aucun impact sur l'intégrité.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour WooCommerce Support Ticket System vers la version 18.5 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les droits d'accès aux fichiers et répertoires du serveur web. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation de cette vulnérabilité en filtrant les requêtes suspectes. Vérifiez après la mise à jour que les permissions des fichiers et répertoires sont correctement configurées et que seul les utilisateurs autorisés ont accès aux données sensibles.
Comment corriger
Mettre à jour vers la version 18.5, ou une version corrigée plus récente
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentestraduction en cours…
What is CVE-2026-32522 — Arbitrary File Access in WooCommerce Support Ticket System?
CVE-2026-32522 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a server running versions of WooCommerce Support Ticket System before 18.5. It's a path traversal issue.
Am I affected by CVE-2026-32522 in WooCommerce Support Ticket System?
You are affected if you are using WooCommerce Support Ticket System version 18.5 or earlier. Check your plugin version and upgrade immediately if necessary.
How do I fix CVE-2026-32522 in WooCommerce Support Ticket System?
Upgrade the WooCommerce Support Ticket System plugin to version 18.5 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file permissions or using a WAF.
Is CVE-2026-32522 being actively exploited?
There is currently no confirmed active exploitation of CVE-2026-32522, but the vulnerability's nature makes it a potential target.
Where can I find the official WooCommerce Support Ticket System advisory for CVE-2026-32522?
Refer to the WooCommerce Support Ticket System plugin documentation and the WordPress security announcements for the official advisory.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.