HIGHCVE-2024-32807CVSS 8.5

WordPress Brevo for WooCommerce plugin <= 4.0.17 - Arbitrair File Download en Deletion kwetsbaarheid

Q: What is CVE-2024-32807 — Arbitrary File Access in Brevo for WooCommerce?

CVE-2024-32807 is a HIGH severity vulnerability allowing attackers to access files on a server through Brevo for WooCommerce versions up to 4.0.17.

Q: Am I affected by CVE-2024-32807 in Brevo for WooCommerce?

Yes, if you are using Brevo for WooCommerce version 4.0.17 or earlier, you are affected by this vulnerability.

Q: How do I fix CVE-2024-32807 in Brevo for WooCommerce?

Upgrade Brevo for WooCommerce to version 4.0.18 or later. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.

Q: Is CVE-2024-32807 being actively exploited?

While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high risk of future attacks.

Q: Where can I find the official Brevo advisory for CVE-2024-32807?

Refer to the Brevo security advisory for detailed information and updates: [https://security.brevo.com/](https://security.brevo.com/)

Platform

wordpress

Component

woocommerce-sendinblue-newsletter-subscription

Opgelost in

4.0.18

AI Confidence: highNVDEPSS 0.5%Beoordeeld: mei 2026

Bekijk op NVD

Opslaan

CVE-2024-32807 beschrijft een kwetsbaarheid van het type Arbitrary File Access (Path Traversal) in de Brevo for WooCommerce plugin. Deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de toegestane directory te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van Brevo for WooCommerce tot en met 4.0.17. Een patch is beschikbaar in versie 4.0.18.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

Impact en Aanvalsscenarios

Een succesvolle exploitatie van CVE-2024-32807 kan aanzienlijke gevolgen hebben voor een WordPress website. Een aanvaller kan gevoelige bestanden, zoals configuratiebestanden of database back-ups, benaderen en downloaden. In sommige gevallen kan de aanvaller zelfs code uitvoeren op de server, wat leidt tot volledige controle over de website. De impact is vergelijkbaar met andere path traversal kwetsbaarheden, waarbij de aanvaller de directory structuur misbruikt om toegang te krijgen tot ongeautoriseerde bronnen. De blast radius is afhankelijk van de privileges van de webserver en de gevoeligheid van de bestanden die toegankelijk zijn.

Uitbuitingscontext

Op dit moment (2024-05-06) is CVE-2024-32807 publiekelijk bekendgemaakt. Er zijn geen meldingen van actieve exploitatie in de wild, maar de kwetsbaarheid is relatief eenvoudig te exploiteren. Er zijn geen KEV-listings of EPSS scores bekend. Het is aannemelijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt, vooral op websites die niet onmiddellijk worden geüpdatet.

Wie Loopt Risicowordt vertaald…

Websites using Brevo for WooCommerce, particularly those with older versions (≤4.0.17), are at risk. Shared hosting environments are especially vulnerable, as attackers could potentially exploit this vulnerability to gain access to other websites hosted on the same server. Sites with weak file permission configurations are also at increased risk.

Detectiestappenwordt vertaald…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/brevo-sendinblue-woocommerce/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/brevo-sendinblue-woocommerce/../../../../etc/passwd' # Attempt path traversal

Aanvalstijdlijn

2024-05-06Disclosure
disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend

CISA KEVNO

InternetblootstellingHoog

EPSS

0.50% (66% percentiel)

CISA SSVC

Exploitatienone

Automatiseerbaarno

Technische Impactpartial

CVSS-vector

Wat betekenen deze metrics?

Attack Vector: Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity: Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required: Laag — elk geldig gebruikersaccount is voldoende.
User Interaction: Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope: Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality: Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity: Geen — geen integriteitsimpact.
Availability: Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentwoocommerce-sendinblue-newsletter-subscription

LeverancierBrevo

Getroffen bereikOpgelost in

0.0.0 – 4.0.174.0.18

Pakketinformatie

Actieve installaties: 30KBekend
Plugin-beoordeling: 3.2
Vereist WordPress: 4.3+
Compatibel tot: 6.9.4
Vereist PHP: 5.6+

Website

Zwakheidsclassificatie (CWE)

CWE-22

Tijdlijn

Gereserveerd2024-04-18
Gepubliceerd2024-05-06
Gewijzigd2024-08-02
EPSS bijgewerkt2026-04-02

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2024-32807 is het updaten van de Brevo for WooCommerce plugin naar versie 4.0.18 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) met regels die path traversal pogingen detecteren en blokkeren. Controleer de WordPress configuratie op onnodige directory listing en beperk de rechten van de webserver gebruiker. Na de upgrade, controleer de webserver logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen een bestand buiten de toegestane directory te benaderen.

Hoe te verhelpenwordt vertaald…

Actualice el plugin Brevo for WooCommerce a una versión posterior a la 4.0.17. Esto solucionará la vulnerabilidad de path traversal que permite la descarga y eliminación arbitraria de archivos. La actualización se puede realizar directamente desde el panel de administración de WordPress.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragenwordt vertaald…

What is CVE-2024-32807 — Arbitrary File Access in Brevo for WooCommerce?

CVE-2024-32807 is a HIGH severity vulnerability allowing attackers to access files on a server through Brevo for WooCommerce versions up to 4.0.17.

Am I affected by CVE-2024-32807 in Brevo for WooCommerce?

Yes, if you are using Brevo for WooCommerce version 4.0.17 or earlier, you are affected by this vulnerability.

How do I fix CVE-2024-32807 in Brevo for WooCommerce?

Upgrade Brevo for WooCommerce to version 4.0.18 or later. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.

Is CVE-2024-32807 being actively exploited?

While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high risk of future attacks.

Where can I find the official Brevo advisory for CVE-2024-32807?

Refer to the Brevo security advisory for detailed information and updates: [https://security.brevo.com/](https://security.brevo.com/)

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen CVEs zoeken