Plateforme
wordpress
Composant
woocommerce-checkout-field-editor-pro
Corrigé dans
3.6.3
La vulnérabilité CVE-2024-35658 est une faille d'accès arbitraire de fichier (Path Traversal) découverte dans le plugin Checkout Field Editor for WooCommerce (Pro). Cette faille permet à un attaquant de manipuler des fichiers sensibles sur le serveur. Elle affecte les versions du plugin antérieures ou égales à 3.6.2. Une version corrigée (3.6.3) est désormais disponible.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder et modifier des fichiers situés en dehors du répertoire prévu, compromettant ainsi l'intégrité du site web. Cela pourrait inclure la lecture de fichiers de configuration contenant des informations sensibles, la modification de fichiers système, ou même l'exécution de code malveillant. L'impact est significatif car il permet un accès non autorisé aux ressources du serveur, pouvant mener à une compromission complète du site. Bien que des exemples d'exploitation directe ne soient pas encore largement documentés, la nature de la vulnérabilité Path Traversal est bien connue et souvent exploitée dans des environnements WordPress.
Cette vulnérabilité a été rendue publique le 10 juin 2024. Elle n'a pas encore été ajoutée au KEV de CISA, et son score EPSS n'est pas encore disponible. Aucune preuve d'exploitation active n'a été signalée à ce jour, mais la nature de la vulnérabilité la rend potentiellement exploitable. Consultez la page NVD pour plus d'informations.
Websites using WooCommerce with the Checkout Field Editor for WooCommerce (Pro) plugin, particularly those running older versions (≤3.6.2), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher concentration of WooCommerce installations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/checkout-field-editor-for-woocommerce-pro/*• generic web:
curl -I 'https://your-website.com/wp-content/plugins/checkout-field-editor-for-woocommerce-pro/../../../../etc/passwd' # Check for directory traversaldisclosure
Statut de l'Exploit
EPSS
0.25% (percentile 48%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Checkout Field Editor for WooCommerce (Pro) vers la version 3.6.3 ou supérieure. En attendant la mise à jour, une solution de contournement possible est de restreindre les permissions d'écriture sur les répertoires sensibles du serveur. Il est également recommandé d'utiliser un pare-feu applicatif web (WAF) configuré pour bloquer les requêtes contenant des séquences de caractères typiques des attaques Path Traversal (../). Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes.
Actualice el plugin Checkout Field Editor for WooCommerce (Pro) a la última versión disponible. La vulnerabilidad permite la eliminación arbitraria de archivos, por lo que es crucial actualizar para proteger su sitio web. Si no hay una versión disponible, considere deshabilitar el plugin temporalmente hasta que se publique una actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-35658 is a HIGH severity vulnerability in Checkout Field Editor for WooCommerce (Pro) allowing attackers to access files outside the intended directory. It affects versions ≤3.6.2 and has a CVSS score of 8.6.
Yes, if you are using Checkout Field Editor for WooCommerce (Pro) version 3.6.2 or earlier, you are vulnerable to this Arbitrary File Access issue.
Upgrade to Checkout Field Editor for WooCommerce (Pro) version 3.6.3 or later to resolve the vulnerability. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the official ThemeHigh website and WooCommerce security resources for the latest advisory and updates regarding CVE-2024-35658.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.