Plateforme
wordpress
Composant
xforwoocommerce
Corrigé dans
2.0.3
La vulnérabilité CVE-2024-33628 représente une faille de Path Traversal (Inclusion de Fichier Local) au sein du plugin XforWooCommerce. Cette faille permet à un attaquant d'inclure des fichiers arbitraires sur le serveur, potentiellement conduisant à la compromission du système. Elle affecte les versions du plugin XforWooCommerce inférieures ou égales à 2.0.2. Une version corrigée, 2.0.3, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'inclure des fichiers locaux, contournant ainsi les restrictions de sécurité. Cela peut conduire à la lecture de fichiers sensibles, tels que des fichiers de configuration contenant des informations d'identification, ou même à l'exécution de code malveillant si des fichiers PHP sont inclus. L'attaquant pourrait potentiellement prendre le contrôle du serveur web et accéder aux données des clients. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la nature de la vulnérabilité la rend potentiellement dangereuse, en particulier sur les serveurs avec des configurations de sécurité inadéquates.
La vulnérabilité a été rendue publique le 4 juin 2024. Elle n'est pas encore répertoriée sur le KEV de CISA, ni a-t-elle fait l'objet d'une exploitation active confirmée. Il n'existe pas de preuve de concept (PoC) publique largement diffusée, mais la nature de la vulnérabilité suggère qu'elle pourrait être rapidement exploitée si elle n'est pas corrigée.
WordPress websites utilizing the XforWooCommerce plugin, particularly those running versions prior to 2.0.3, are at risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are websites with misconfigured file permissions that could exacerbate the impact of a successful exploit.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xforwoocommerce/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/xforwoocommerce/path/to/file../sensitive_file.phpdisclosure
Statut de l'Exploit
EPSS
1.08% (percentile 78%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour XforWooCommerce vers la version 2.0.3 ou supérieure. Si la mise à jour n'est pas possible immédiatement, il est recommandé de restreindre l'accès au répertoire du plugin via un pare-feu applicatif web (WAF) ou un proxy inverse. Vérifiez également les permissions des fichiers et des répertoires du plugin pour vous assurer qu'ils sont correctement configurés. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin en comparant leurs sommes de contrôle (checksums) avec celles fournies par le développeur.
Actualice el plugin XforWooCommerce a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-33628 is a Path Traversal vulnerability affecting the XforWooCommerce WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using XforWooCommerce version 2.0.2 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade the XforWooCommerce plugin to version 2.0.3 or later to remediate the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's nature suggests that exploits are likely to emerge, making prompt mitigation crucial.
Refer to the XforWooCommerce official website or WordPress plugin repository for the latest advisory and update information regarding CVE-2024-33628.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.