Plateforme
wordpress
Composant
smsa-shipping-official
Corrigé dans
2.3.1
2.4
Le plugin SMSA Shipping pour WordPress présente une vulnérabilité d'accès arbitraire de fichiers. Cette faille, due à une validation insuffisante des chemins de fichiers, permet à des attaquants authentifiés, même avec un accès de niveau Abonné, de supprimer des fichiers arbitraires sur le serveur. Les versions concernées sont celles inférieures ou égales à 2.3. La mise à jour vers la version 2.4 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est significatif. Un attaquant authentifié peut supprimer des fichiers critiques du serveur WordPress, compromettant ainsi l'intégrité du système. La suppression du fichier wp-config.php, par exemple, peut permettre l'exécution de code à distance, donnant un contrôle total sur le serveur. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite qu'un accès de niveau Abonné, ce qui est relativement courant. Une exploitation réussie pourrait entraîner une perte de données, une compromission du site web et une prise de contrôle du serveur.
Cette vulnérabilité a été publiée le 6 janvier 2026. Il n'y a pas d'indications d'exploitation active à ce jour. Il n'est pas listé sur KEV, et son score EPSS n'est pas disponible. Des preuves de concept publiques pourraient émerger, augmentant le risque d'exploitation.
WordPress websites using the SMSA Shipping plugin, particularly those with Subscriber-level users who have access to file management functionalities, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable.
• wordpress / composer / npm:
wp plugin list | grep smsa-shipping• wordpress / composer / npm:
wp plugin update smsa-shipping --version=2.4• wordpress / composer / npm:
grep -r 'delete_file' /var/www/html/wp-content/plugins/smsa-shipping/*• generic web: Check WordPress plugin directory for mentions of the vulnerability and potential exploit attempts.
disclosure
Statut de l'Exploit
EPSS
0.17% (percentile 38%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin SMSA Shipping vers la version 2.4 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre les permissions des utilisateurs avec un accès de niveau Abonné pour limiter leur capacité à effectuer des actions potentiellement dangereuses. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des tentatives de suppression de fichiers sensibles est recommandée. Vérifiez après la mise à jour que les permissions des fichiers critiques sont correctement définies et que le plugin fonctionne comme prévu.
Mettre à jour vers la version 2.4, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-49249 is a vulnerability in the SMSA Shipping WordPress plugin allowing authenticated users to delete files, potentially leading to remote code execution. It affects versions up to 2.3 and has a CVSS score of 8.1 (HIGH).
You are affected if you are using the SMSA Shipping plugin version 2.3 or earlier. Check your plugin version and upgrade immediately.
Upgrade the SMSA Shipping plugin to version 2.4 or later. If upgrading is not possible, restrict file access permissions and implement WAF rules.
Currently, there are no confirmed reports of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the official SMSA Shipping plugin website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.