Plateforme
wordpress
Composant
woocommerce-sendinblue-newsletter-subscription
Corrigé dans
4.0.18
La vulnérabilité CVE-2024-32807 est une faille de contournement de chemin (Path Traversal) découverte dans le plugin Brevo for WooCommerce. Cette faille permet à un attaquant de manipuler les entrées web pour accéder à des fichiers sensibles sur le système de fichiers du serveur. Elle affecte les versions du plugin inférieures ou égales à 4.0.17, et une version corrigée (4.0.18) est désormais disponible.
Un attaquant exploitant avec succès cette vulnérabilité pourrait lire des fichiers sensibles présents sur le serveur web, tels que des fichiers de configuration, des clés API, ou même des données sensibles des utilisateurs. L'accès arbitraire aux fichiers permettrait potentiellement de compromettre l'ensemble de l'environnement WordPress, en permettant l'exécution de code malveillant ou la modification de données critiques. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable et constitue un risque significatif pour les sites web utilisant Brevo for WooCommerce.
La vulnérabilité CVE-2024-32807 a été rendue publique le 6 mai 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation rend probable son utilisation future. Aucun enregistrement sur le KEV de CISA n'est disponible pour le moment. Des preuves de concept (PoC) pourraient rapidement apparaître, augmentant le risque d'exploitation.
Websites using Brevo for WooCommerce, particularly those with older versions (≤4.0.17), are at risk. Shared hosting environments are especially vulnerable, as attackers could potentially exploit this vulnerability to gain access to other websites hosted on the same server. Sites with weak file permission configurations are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/brevo-sendinblue-woocommerce/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/brevo-sendinblue-woocommerce/../../../../etc/passwd' # Attempt path traversaldisclosure
Statut de l'Exploit
EPSS
0.50% (percentile 66%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Brevo for WooCommerce vers la version 4.0.18 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre les permissions d'accès aux fichiers et répertoires du serveur web. Il est également recommandé de mettre en place une politique de sécurité stricte pour les entrées utilisateur, en validant et en filtrant toutes les données avant de les utiliser dans des opérations de manipulation de fichiers. Enfin, surveillez les journaux d'accès et d'erreurs du serveur web pour détecter toute tentative d'exploitation de cette vulnérabilité.
Actualice el plugin Brevo for WooCommerce a una versión posterior a la 4.0.17. Esto solucionará la vulnerabilidad de path traversal que permite la descarga y eliminación arbitraria de archivos. La actualización se puede realizar directamente desde el panel de administración de WordPress.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-32807 is a HIGH severity vulnerability allowing attackers to access files on a server through Brevo for WooCommerce versions up to 4.0.17.
Yes, if you are using Brevo for WooCommerce version 4.0.17 or earlier, you are affected by this vulnerability.
Upgrade Brevo for WooCommerce to version 4.0.18 or later. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high risk of future attacks.
Refer to the Brevo security advisory for detailed information and updates: [https://security.brevo.com/](https://security.brevo.com/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.