Platform
wordpress
Component
woo-permalink-manager
Opgelost in
2.3.11
CVE-2024-27971 beschrijft een Path Traversal kwetsbaarheid in Premmerce Permalink Manager voor WooCommerce. Deze kwetsbaarheid stelt een aanvaller in staat om PHP Local File Inclusion uit te voeren, wat kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server. De kwetsbaarheid treft versies van Premmerce Permalink Manager tot en met 2.3.10. Een patch is beschikbaar in versie 2.3.11.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan PHP-code op de server uitvoeren door middel van Local File Inclusion (LFI). Dit kan leiden tot het lezen van gevoelige configuratiebestanden, broncode of andere kritieke gegevens. In het ergste geval kan de aanvaller controle over de server overnemen, waardoor de integriteit en vertrouwelijkheid van de website en de daaraan gerelateerde gegevens in gevaar komen. De impact is vergelijkbaar met kwetsbaarheden waarbij een aanvaller toegang krijgt tot de serverconfiguratie en deze kan manipuleren.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds Proof-of-Concept exploits beschikbaar. De KEV score is nog niet bekend. Er zijn momenteel geen meldingen van actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de Path Traversal aard maakt het een aantrekkelijk doelwit voor automatische scanners. De kwetsbaarheid is openbaar gemaakt op 2024-05-17 via het NVD.
Websites using the Premmerce Permalink Manager for WooCommerce plugin, particularly those running older versions (≤2.3.10), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over server file permissions. Sites with misconfigured file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/wp-admin/admin.php?page=premmerce-permalink-manager&file=../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Exploit Status
EPSS
48.09% (98% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-27971 is het updaten van Premmerce Permalink Manager naar versie 2.3.11 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker om de potentiële schade te beperken. Controleer ook de WordPress-website op verdachte bestanden of wijzigingen die kunnen wijzen op een inbreuk. Implementeer een Web Application Firewall (WAF) met regels die path traversal aanvallen detecteren en blokkeren. Na de upgrade, controleer de serverlogs op ongebruikelijke activiteit om te bevestigen dat de kwetsbaarheid is verholpen.
Actualice el plugin Premmerce Permalink Manager for WooCommerce a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-27971 is a Path Traversal vulnerability in Premmerce Permalink Manager for WooCommerce allowing attackers to potentially include arbitrary files, leading to sensitive information disclosure or code execution.
Yes, if you are using Premmerce Permalink Manager for WooCommerce versions 2.3.10 or earlier, you are affected by this vulnerability.
Upgrade the Premmerce Permalink Manager for WooCommerce plugin to version 2.3.11 or later. If immediate upgrade is not possible, restrict file access permissions and consider WAF rules.
While no public exploits are currently known, the vulnerability's nature makes it likely to be targeted, so prompt mitigation is crucial.
Refer to the Premmerce website and WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.