Platform
wordpress
Component
woocommerce-pdf-vouchers
Opgelost in
4.9.5
CVE-2024-39651 beschrijft een Arbitrary File Access kwetsbaarheid in de WooCommerce PDF Vouchers plugin. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de toegestane directory te benaderen, wat kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft versies van WooCommerce PDF Vouchers tot en met 4.9.5. Een fix is beschikbaar in versie 4.9.5.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige bestanden op de server te lezen, mits de webserver de juiste permissies heeft. Dit kan gevoelige informatie onthullen, zoals configuratiebestanden, database credentials of andere vertrouwelijke gegevens. In een worst-case scenario kan een aanvaller de server compromitteren en volledige controle verkrijgen. De impact is aanzienlijk, aangezien de kwetsbaarheid direct leidt tot ongeautoriseerde toegang tot bestanden.
Deze kwetsbaarheid is openbaar bekend en er is een redelijke kans dat deze wordt misbruikt. Er zijn momenteel geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid, maar het is belangrijk om proactief te zijn en de plugin te updaten. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van de mitigatie onderstreept.
Websites utilizing WooCommerce PDF Vouchers plugin versions prior to 4.9.5 are at risk. This includes e-commerce sites selling digital products and those relying on the plugin for voucher management. Shared hosting environments are particularly vulnerable due to the potential for cross-site contamination.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-pdf-vouchers/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woocommerce-pdf-vouchers/includes/some-file..\/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive woocommerce-pdf-vouchersdisclosure
Exploit Status
EPSS
0.31% (54% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de WooCommerce PDF Vouchers plugin naar versie 4.9.5 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker om de schade te beperken. Controleer ook de toegangsrechten van de bestanden en directories op de server om te zorgen dat ze niet onnodig leesbaar zijn voor de webserver. Implementeer een Web Application Firewall (WAF) met regels die path traversal aanvallen detecteren en blokkeren.
Actualice el plugin WooCommerce PDF Vouchers a la versión 4.9.5 o superior. Esta actualización corrige la vulnerabilidad de eliminación arbitraria de archivos. Para actualizar, vaya a la sección de plugins en su panel de administración de WordPress y busque la actualización disponible.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-39651 is a HIGH severity vulnerability allowing attackers to manipulate files in WooCommerce PDF Vouchers versions ≤4.9.5, potentially leading to data exposure and server compromise.
You are affected if you are using WooCommerce PDF Vouchers version 4.9.5 or earlier. Immediately check your plugin version and upgrade if necessary.
Upgrade WooCommerce PDF Vouchers to version 4.9.5 or later. Consider implementing WAF rules and restricting file upload permissions as temporary mitigations.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation. Continuous monitoring is recommended.
Refer to the WooCommerce PDF Vouchers plugin documentation and the WPWeb website for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.