Plateforme
wordpress
Composant
woocommerce-pdf-vouchers
Corrigé dans
4.9.5
La vulnérabilité CVE-2024-39651 est une faille d'accès arbitraire de fichier (Path Traversal) détectée dans le plugin WooCommerce PDF Vouchers. Cette faille permet à un attaquant de manipuler des fichiers sensibles sur le serveur. Elle affecte les versions du plugin antérieures à 4.9.5 et a été corrigée dans la version 4.9.5.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers situés en dehors du répertoire prévu, y compris des fichiers de configuration sensibles, des fichiers de code source ou des données confidentielles. La manipulation de ces fichiers peut permettre à l'attaquant de compromettre l'ensemble du site WordPress, d'exécuter du code malveillant ou de voler des informations sensibles. Bien que l'exploitation directe puisse nécessiter une certaine expertise, la simplicité de la faille la rend potentiellement accessible à des attaquants moins expérimentés. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis des violations de données importantes dans le passé.
La vulnérabilité a été rendue publique le 13 août 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de la faille et de sa présence dans un plugin WordPress populaire. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Websites utilizing WooCommerce PDF Vouchers plugin versions prior to 4.9.5 are at risk. This includes e-commerce sites selling digital products and those relying on the plugin for voucher management. Shared hosting environments are particularly vulnerable due to the potential for cross-site contamination.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-pdf-vouchers/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woocommerce-pdf-vouchers/includes/some-file..\/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive woocommerce-pdf-vouchersdisclosure
Statut de l'Exploit
EPSS
0.31% (percentile 54%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation la plus efficace est de mettre à jour WooCommerce PDF Vouchers vers la version 4.9.5 ou supérieure. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les autorisations d'écriture sur le serveur et en désactivant temporairement les fonctionnalités du plugin qui pourraient être exploitées. Il est également recommandé de surveiller les journaux du serveur pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour vous assurer qu'ils n'ont pas été compromis.
Actualice el plugin WooCommerce PDF Vouchers a la versión 4.9.5 o superior. Esta actualización corrige la vulnerabilidad de eliminación arbitraria de archivos. Para actualizar, vaya a la sección de plugins en su panel de administración de WordPress y busque la actualización disponible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-39651 is a HIGH severity vulnerability allowing attackers to manipulate files in WooCommerce PDF Vouchers versions ≤4.9.5, potentially leading to data exposure and server compromise.
You are affected if you are using WooCommerce PDF Vouchers version 4.9.5 or earlier. Immediately check your plugin version and upgrade if necessary.
Upgrade WooCommerce PDF Vouchers to version 4.9.5 or later. Consider implementing WAF rules and restricting file upload permissions as temporary mitigations.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation. Continuous monitoring is recommended.
Refer to the WooCommerce PDF Vouchers plugin documentation and the WPWeb website for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.