プラットフォーム
wordpress
コンポーネント
woocommerce-sendinblue-newsletter-subscription
修正版
4.0.18
Brevo for WooCommerceのバージョン4.0.17以前には、パス・トラバーサル脆弱性(CVE-2024-32807)が存在します。この脆弱性は、攻撃者が相対パスを操作することで、本来アクセスできないファイルシステムへのアクセスを試みることを可能にします。影響を受けるバージョンは、Sendinblue for WooCommerceのn/aから4.0.17です。バージョン4.0.18へのアップデートでこの問題は修正されています。
このパス・トラバーサル脆弱性を悪用されると、攻撃者はサーバー上の機密ファイル(設定ファイル、ログファイル、ソースコードなど)を読み取ることが可能になります。さらに、ファイルの上書きや削除といった操作も実行されるリスクがあります。攻撃者は、Webサイトのコンテンツを改ざんしたり、悪意のあるコードを挿入したりすることで、ユーザーを詐欺サイトに誘導したり、マルウェアを配布したりする可能性があります。この脆弱性は、類似のパス・トラバーサル攻撃と同様に、サーバー全体のセキュリティを脅かす重大なリスクとなります。
CVE-2024-32807は、2024年5月6日に公開されました。現時点では、公的に利用可能なPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVリストへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。
Websites using Brevo for WooCommerce, particularly those with older versions (≤4.0.17), are at risk. Shared hosting environments are especially vulnerable, as attackers could potentially exploit this vulnerability to gain access to other websites hosted on the same server. Sites with weak file permission configurations are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/brevo-sendinblue-woocommerce/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/brevo-sendinblue-woocommerce/../../../../etc/passwd' # Attempt path traversaldisclosure
エクスプロイト状況
EPSS
0.50% (66% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Brevo for WooCommerceをバージョン4.0.18にアップデートすることが最も効果的な対策です。アップデートが直ちに実行できない場合は、Webアプリケーションファイアウォール(WAF)やリバースプロキシを設定し、パス・トラバーサル攻撃を検知・防御するルールを適用してください。また、ファイルアクセス権限を適切に設定し、Webサーバーがアクセスできるファイルを制限することも有効です。最後に、アップデート後、ファイルアクセスログを監視し、不正なアクセスがないか確認することで、脆弱性の悪用を早期に発見できます。
Actualice el plugin Brevo for WooCommerce a una versión posterior a la 4.0.17. Esto solucionará la vulnerabilidad de path traversal que permite la descarga y eliminación arbitraria de archivos. La actualización se puede realizar directamente desde el panel de administración de WordPress.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-32807は、Brevo for WooCommerceのバージョン4.0.17以前に存在するパス・トラバーサル脆弱性です。攻撃者は相対パスを操作し、ファイルシステムへの不正なアクセスを試みることが可能です。
Brevo for WooCommerceのバージョンが4.0.17以下の場合、影響を受けます。バージョン4.0.18へのアップデートが必要です。
Brevo for WooCommerceをバージョン4.0.18にアップデートしてください。アップデートが困難な場合は、WAFなどの対策を講じてください。
現時点では公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用される可能性が高いため、注意が必要です。
Brevoの公式アドバイザリは、Brevoのセキュリティ情報ページで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。