Platform
wordpress
Component
woocommerce-checkout-field-editor-pro
Opgelost in
3.6.3
CVE-2024-35658 beschrijft een Arbitrary File Access kwetsbaarheid in de Checkout Field Editor for WooCommerce (Pro) plugin. Deze kwetsbaarheid stelt aanvallers in staat om via padmanipulatie bestanden buiten de toegestane directory te benaderen, wat potentieel tot data-exfiltratie kan leiden. De kwetsbaarheid treft versies van de plugin tot en met 3.6.2. Een fix is beschikbaar in versie 3.6.3.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige bestanden op de server te lezen, mits de aanvaller de juiste padmanipulatie kan uitvoeren. Dit kan leiden tot het blootleggen van gevoelige configuratiebestanden, database credentials, of andere kritieke data. De impact is aanzienlijk, omdat een succesvolle exploitatie kan resulteren in een compromis van de gehele WooCommerce-installatie en mogelijk de onderliggende server. Het is vergelijkbaar met andere path traversal kwetsbaarheden waarbij ongeautoriseerde toegang tot bestanden mogelijk wordt gemaakt.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-06-10. Er zijn momenteel geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid, maar path traversal kwetsbaarheden worden vaak misbruikt. Controleer de CISA KEV catalogus voor updates over de status van deze kwetsbaarheid. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de complexiteit van de exploitatie is relatief laag.
Websites using WooCommerce with the Checkout Field Editor for WooCommerce (Pro) plugin, particularly those running older versions (≤3.6.2), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher concentration of WooCommerce installations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/checkout-field-editor-for-woocommerce-pro/*• generic web:
curl -I 'https://your-website.com/wp-content/plugins/checkout-field-editor-for-woocommerce-pro/../../../../etc/passwd' # Check for directory traversaldisclosure
Exploit Status
EPSS
0.25% (48% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Checkout Field Editor for WooCommerce (Pro) plugin naar versie 3.6.3 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker om de schade te beperken in geval van een exploitatie. Controleer ook de webserverconfiguratie op mogelijke instellingen die path traversal kunnen vergemakkelijken. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot padmanipulatie detecteren en blokkeren.
Actualice el plugin Checkout Field Editor for WooCommerce (Pro) a la última versión disponible. La vulnerabilidad permite la eliminación arbitraria de archivos, por lo que es crucial actualizar para proteger su sitio web. Si no hay una versión disponible, considere deshabilitar el plugin temporalmente hasta que se publique una actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-35658 is a HIGH severity vulnerability in Checkout Field Editor for WooCommerce (Pro) allowing attackers to access files outside the intended directory. It affects versions ≤3.6.2 and has a CVSS score of 8.6.
Yes, if you are using Checkout Field Editor for WooCommerce (Pro) version 3.6.2 or earlier, you are vulnerable to this Arbitrary File Access issue.
Upgrade to Checkout Field Editor for WooCommerce (Pro) version 3.6.3 or later to resolve the vulnerability. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the official ThemeHigh website and WooCommerce security resources for the latest advisory and updates regarding CVE-2024-35658.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.