Plateforme
wordpress
Composant
woo-product-design
Corrigé dans
1.0.1
La vulnérabilité CVE-2024-50509 représente un défaut d'accès arbitraire de fichiers (Path Traversal) au sein du plugin Woocommerce Product Design. Cette faille permet à un attaquant non authentifié de lire des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité des données sensibles. Elle affecte les versions du plugin inférieures ou égales à 1.0.0 et a été corrigée dans la version 1.0.1.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers sensibles stockés sur le serveur web hébergeant le site WordPress. Cela inclut des fichiers de configuration, des fichiers de code source, des fichiers de journaux et d'autres données confidentielles. L'accès à ces fichiers peut permettre à l'attaquant de compromettre davantage le système, d'obtenir des informations d'identification, de modifier des fichiers ou même d'exécuter du code malveillant. Le risque est accru si le serveur web est mal configuré ou si des fichiers sensibles sont stockés dans des répertoires accessibles via le web. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la nature de la vulnérabilité (Path Traversal) est bien établie et souvent exploitée.
La vulnérabilité a été publiée le 30 octobre 2024. Elle n'a pas encore été ajoutée au catalogue KEV de CISA, et son score EPSS n'a pas été évalué. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable. Consultez la page NVD pour les informations les plus récentes.
WordPress sites utilizing the Woocommerce Product Design plugin, particularly those running older versions (≤1.0.0), are at risk. Shared hosting environments where plugin updates are not managed by the user are also particularly vulnerable, as are sites with weak file permission configurations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/woocommerce-product-design/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/woocommerce-product-design/../../../../etc/passwd' # Attempt path traversaldisclosure
Statut de l'Exploit
EPSS
14.77% (percentile 94%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Woocommerce Product Design vers la version 1.0.1 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, une mesure temporaire consiste à restreindre l'accès aux fichiers sensibles via les permissions du serveur web. Il est également recommandé de vérifier la configuration du serveur web pour s'assurer qu'il n'y a pas d'autres vulnérabilités potentielles. Sur un serveur WordPress, il est conseillé de renforcer la sécurité en limitant les permissions des fichiers et répertoires, et en utilisant un pare-feu d'application web (WAF) pour bloquer les tentatives d'accès non autorisées. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin en comparant leur checksum avec une version connue et fiable.
Actualice el plugin Woocommerce Product Design a una versión posterior a la 1.0.0, si está disponible. Si no hay una versión corregida disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que solucione la vulnerabilidad. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-50509 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in Woocommerce Product Design versions up to 1.0.0, potentially exposing sensitive data.
You are affected if you are using Woocommerce Product Design version 1.0.0 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Woocommerce Product Design plugin to version 1.0.1 or later. Consider implementing a WAF rule to block path traversal attempts as a temporary workaround.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a high probability of exploitation. Monitor security advisories for updates.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.