Platform
wordpress
Component
woocommerce-openpos
Opgelost in
6.4.5
CVE-2024-37932 beschrijft een 'Path Traversal' kwetsbaarheid in Woocommerce OpenPos, waardoor ongeautoriseerde toegang tot bestanden mogelijk is. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de beoogde directory te benaderen en mogelijk te manipuleren. De kwetsbaarheid treft versies van Woocommerce OpenPos tot en met 6.4.4. Een fix is beschikbaar in versie 6.4.5.
Deze 'Path Traversal' kwetsbaarheid in Woocommerce OpenPos stelt een aanvaller in staat om willekeurige bestanden op de server te lezen, en mogelijk te schrijven, afhankelijk van de configuratie en permissies. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals configuratiebestanden, database credentials of broncode. In een worst-case scenario kan een aanvaller de server overnemen of malware installeren. De impact is aanzienlijk, vooral voor webshops die OpenPos gebruiken voor point-of-sale functionaliteit, aangezien dit vaak gevoelige klantgegevens en transactiegegevens verwerkt.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-07-12. Er zijn momenteel geen bekende actieve campagnes gerapporteerd, maar de publicatie van de kwetsbaarheid maakt exploitatie waarschijnlijk. Het is aan te raden om de getroffen systemen zo snel mogelijk te patchen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van de patch onderstreept.
Websites utilizing Woocommerce OpenPos plugin, particularly those running older versions (≤6.4.4), are at risk. Shared hosting environments where file system permissions are not tightly controlled are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-openpos/*• generic web:
curl -I https://your-website.com/wp-content/plugins/woocommerce-openpos/../../../../etc/passwd # Check for path traversaldisclosure
Exploit Status
EPSS
0.42% (62% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van Woocommerce OpenPos naar versie 6.4.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegankelijkheid tot de OpenPos directory via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om requests met path traversal patronen (zoals '../') te blokkeren. Controleer ook de permissies van de bestanden en directories in de OpenPos installatie om te zorgen dat ze niet onnodig leesbaar of schrijfbaar zijn voor de webserver. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot bestanden buiten de OpenPos directory via de webinterface.
Actualice el plugin Woocommerce OpenPos a una versión posterior a la 6.4.4. Esto solucionará la vulnerabilidad de eliminación arbitraria de archivos. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-37932 is a HIGH severity vulnerability allowing attackers to manipulate files in Woocommerce OpenPos versions up to 6.4.4, potentially leading to data exposure or server compromise.
You are affected if you are using Woocommerce OpenPos version 6.4.4 or earlier. Upgrade to version 6.4.5 to resolve the vulnerability.
Upgrade Woocommerce OpenPos to version 6.4.5 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature makes it likely that exploitation attempts will occur.
Refer to the official Woocommerce security advisory for details: [https://woocommerce.com/security/](https://woocommerce.com/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.