Plateforme
wordpress
Composant
woocommerce-support-ticket-system
Corrigé dans
18.5.1
La vulnérabilité CVE-2026-32522 représente un défaut d'accès arbitraire de fichier (Path Traversal) au sein du système WooCommerce Support Ticket System. Cette faille permet à un attaquant de contourner les restrictions d'accès et de lire des fichiers situés en dehors du répertoire prévu. Elle affecte les versions du plugin antérieures à la version 18.5 et une correction a été déployée dans la version 18.5.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers sensibles stockés sur le serveur web, tels que des fichiers de configuration, des clés API, ou même des données sensibles des utilisateurs. L'attaquant pourrait ainsi obtenir des informations confidentielles, compromettre la sécurité du système, ou même exécuter du code malveillant si des fichiers exécutables sont accessibles. Le risque est accru si le serveur web héberge d'autres applications ou services, car l'attaquant pourrait utiliser cette vulnérabilité comme point de départ pour des attaques plus larges.
Cette vulnérabilité a été rendue publique le 25 mars 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable par des attaquants. La probabilité d'exploitation est considérée comme moyenne en raison de la facilité d'identification et d'exploitation de ce type de vulnérabilité. Il est recommandé de prendre des mesures de protection rapidement.
Websites utilizing the WooCommerce Support Ticket System plugin, particularly those running older, unpatched versions (prior to 18.5), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable, as are WordPress installations with weak file permission configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-support-ticket-system/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/woocommerce-support-ticket-system/../../../../etc/passwd' # Attempt path traversaldisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour WooCommerce Support Ticket System vers la version 18.5 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les droits d'accès aux fichiers et répertoires du serveur web. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation de cette vulnérabilité en filtrant les requêtes suspectes. Vérifiez après la mise à jour que les permissions des fichiers et répertoires sont correctement configurées et que seul les utilisateurs autorisés ont accès aux données sensibles.
Mettre à jour vers la version 18.5, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32522 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a server running versions of WooCommerce Support Ticket System before 18.5. It's a path traversal issue.
You are affected if you are using WooCommerce Support Ticket System version 18.5 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the WooCommerce Support Ticket System plugin to version 18.5 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file permissions or using a WAF.
There is currently no confirmed active exploitation of CVE-2026-32522, but the vulnerability's nature makes it a potential target.
Refer to the WooCommerce Support Ticket System plugin documentation and the WordPress security announcements for the official advisory.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.