Plateforme
wordpress
Composant
woozone
Corrigé dans
14.0.11
14.1.00
Le plugin WooCommerce Amazon Affiliates pour WordPress présente une vulnérabilité d'élévation de privilèges. Cette faille permet à des attaquants authentifiés, disposant d'un accès de niveau abonné ou supérieur, d'augmenter leurs privilèges au sein du système. Les versions concernées sont celles inférieures à la version 14.1.00. Une mise à jour vers la version 14.1.00 corrige ce problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès standard et d'accéder à des fonctionnalités ou des données auxquelles il ne devrait pas avoir accès. Un abonné, par exemple, pourrait se voir accorder des droits d'administrateur, lui permettant de modifier des paramètres critiques, d'installer des plugins malveillants ou de compromettre davantage le site WordPress. Le risque est particulièrement élevé pour les sites de commerce électronique qui dépendent de WooCommerce pour la gestion des produits et des transactions, car l'attaquant pourrait potentiellement manipuler les commandes, voler des informations de paiement ou même prendre le contrôle complet du site.
Cette vulnérabilité a été publiée le 25 avril 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Aucun PoC public n'a été largement diffusé, mais la simplicité de l'élévation de privilèges pourrait encourager son développement. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA au moment de la rédaction.
Websites utilizing the WooCommerce Amazon Affiliates plugin, particularly those with a large number of subscriber-level users or those lacking robust access control mechanisms, are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they have not yet applied the patch.
• wordpress / composer / npm:
wp plugin list --status=active | grep 'WooCommerce Amazon Affiliates'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep 'WooCommerce Amazon Affiliates'• wordpress / composer / npm:
wp plugin list --all | grep 'WooCommerce Amazon Affiliates' | awk '{print $1}' | sort -ndisclosure
Statut de l'Exploit
EPSS
0.46% (percentile 64%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation la plus efficace consiste à mettre à jour le plugin WooCommerce Amazon Affiliates vers la version 14.1.00 ou supérieure. Si la mise à jour est problématique, envisagez de faire une sauvegarde complète du site et de revenir à une version précédente du plugin (si possible) avant d'appliquer la mise à jour. En attendant la mise à jour, limitez les privilèges des utilisateurs avec un accès de niveau abonné ou supérieur. Surveillez attentivement les journaux d'activité de WordPress pour détecter toute activité suspecte, notamment des tentatives de modification de fichiers ou de paramètres système par des utilisateurs non autorisés.
Mettre à jour vers la version 14.1.00, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-33549 is a privilege escalation vulnerability affecting the WooCommerce Amazon Affiliates WordPress plugin, allowing authenticated subscribers to gain higher privileges.
You are affected if you are using WooCommerce Amazon Affiliates version 14.1.00 or earlier. Upgrade to 14.1.00 to resolve the issue.
Upgrade the WooCommerce Amazon Affiliates plugin to version 14.1.00 or later. Review user roles and permissions for added security.
There is currently no confirmed active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the WooCommerce website and WordPress plugin repository for the latest security advisories and updates related to CVE-2024-33549.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.