Plateforme
wordpress
Composant
woocommerce-openpos
Corrigé dans
6.4.5
La vulnérabilité CVE-2024-37932 représente une faille d'accès arbitraire de fichiers (Path Traversal) au sein du plugin Woocommerce OpenPos. Cette faille permet à un attaquant de manipuler des fichiers sensibles sur le serveur. Elle affecte les versions du plugin inférieures ou égales à 6.4.4 et une correction a été déployée dans la version 6.4.5.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers situés en dehors du répertoire prévu, y compris des fichiers de configuration, des fichiers sources du plugin, ou même des fichiers système. Cela peut conduire à la divulgation d'informations sensibles, à l'exécution de code arbitraire sur le serveur, ou à la prise de contrôle complète du site web. La manipulation de fichiers critiques peut également entraîner une dégradation du service ou une corruption des données. Bien que cette vulnérabilité ne soit pas directement comparable à Log4Shell, elle partage le principe d'une manipulation non contrôlée de chemins de fichiers, ce qui peut avoir des conséquences graves.
La vulnérabilité a été rendue publique le 12 juillet 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature relativement simple de l'exploitation d'une faille de Path Traversal et de la popularité du plugin Woocommerce OpenPos. Consultez le site de l'ANSSI pour les dernières informations sur les vulnérabilités.
Websites utilizing Woocommerce OpenPos plugin, particularly those running older versions (≤6.4.4), are at risk. Shared hosting environments where file system permissions are not tightly controlled are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-openpos/*• generic web:
curl -I https://your-website.com/wp-content/plugins/woocommerce-openpos/../../../../etc/passwd # Check for path traversaldisclosure
Statut de l'Exploit
EPSS
0.42% (percentile 62%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Woocommerce OpenPos vers la version 6.4.5 ou supérieure. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les permissions d'accès aux fichiers et répertoires du serveur web. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'exploitation en filtrant les requêtes contenant des caractères de manipulation de chemin (../). Vérifiez après la mise à jour que les permissions des fichiers et répertoires sont correctement configurées et que le plugin fonctionne comme prévu.
Actualice el plugin Woocommerce OpenPos a una versión posterior a la 6.4.4. Esto solucionará la vulnerabilidad de eliminación arbitraria de archivos. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-37932 is a HIGH severity vulnerability allowing attackers to manipulate files in Woocommerce OpenPos versions up to 6.4.4, potentially leading to data exposure or server compromise.
You are affected if you are using Woocommerce OpenPos version 6.4.4 or earlier. Upgrade to version 6.4.5 to resolve the vulnerability.
Upgrade Woocommerce OpenPos to version 6.4.5 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature makes it likely that exploitation attempts will occur.
Refer to the official Woocommerce security advisory for details: [https://woocommerce.com/security/](https://woocommerce.com/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.