Plateforme
wordpress
Composant
opal-woo-custom-product-variation
Corrigé dans
1.1.4
La vulnérabilité CVE-2024-52444 est une faille d'accès arbitraire de fichier (Path Traversal) affectant le plugin Opal Woo Custom Product Variation pour WordPress. Cette faille permet à un attaquant non authentifié de lire des fichiers situés en dehors du répertoire prévu, compromettant potentiellement des informations sensibles. Les versions du plugin concernées sont celles inférieures ou égales à 1.1.3. Une version corrigée, 1.1.4, est désormais disponible.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers sensibles sur le serveur web, tels que des fichiers de configuration, des clés API, ou même des données de base de données. L'accès à ces fichiers peut permettre à l'attaquant de compromettre davantage le système, en obtenant des informations d'identification, en modifiant des fichiers, ou en exécutant du code malveillant. Bien que l'accès soit limité à la lecture, la sensibilité des fichiers accessibles rend cette vulnérabilité significative. Cette faille est similaire à d'autres vulnérabilités de Path Traversal qui ont été exploitées dans le passé pour compromettre des serveurs web.
La vulnérabilité a été publiée le 20 novembre 2024. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant le risque d'exploitation.
WordPress websites utilizing the Opal Woo Custom Product Variation plugin, particularly those hosting sensitive data or running older, unpatched versions (≤1.1.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Attempt path traversaldisclosure
Statut de l'Exploit
EPSS
0.16% (percentile 37%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Opal Woo Custom Product Variation vers la version 1.1.4 ou supérieure. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre les permissions d'accès au répertoire web pour empêcher l'accès aux fichiers sensibles. Il est également recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de caractères typiques des attaques de Path Traversal (par exemple, ../). Vérifiez après la mise à jour que le plugin est correctement mis à jour et qu'il n'y a plus de tentatives d'accès non autorisées aux fichiers.
Actualice el plugin Opal Woo Custom Product Variation a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-52444 is a HIGH severity vulnerability allowing attackers to read files outside intended directories in Opal Woo Custom Product Variation versions ≤1.1.3 due to improper path validation.
You are affected if you are using Opal Woo Custom Product Variation version 1.1.3 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Opal Woo Custom Product Variation plugin to version 1.1.4 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official Opal Woo website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.