Platform
wordpress
Component
woo-product-design
Opgelost in
1.0.1
CVE-2024-50508 beschrijft een kwetsbaarheid van het type Path Traversal in de Woocommerce Product Design plugin. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van Woocommerce Product Design tot en met 1.0.0. Een patch is beschikbaar in versie 1.0.1.
Deze Path Traversal kwetsbaarheid in Woocommerce Product Design stelt aanvallers in staat om bestanden buiten de toegestane directory te benaderen. Dit kan leiden tot het uitlezen van gevoelige configuratiebestanden, broncode, of andere bestanden die op de webserver staan. Afhankelijk van de bestanden die benaderd kunnen worden, kan dit resulteren in data-exfiltratie, het verkrijgen van credentials, of zelfs de mogelijkheid om schadelijke code uit te voeren. De impact is aanzienlijk, aangezien een succesvolle exploit de integriteit en vertrouwelijkheid van de webapplicatie en de onderliggende server kan compromitteren. Vergelijkbare path traversal kwetsbaarheden in andere WordPress plugins hebben in het verleden geleid tot grootschalige data-inbreuken.
CVE-2024-50508 is openbaar bekend gemaakt op 2024-10-30. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De EPSS score is momenteel niet bekend, maar gezien de openbare bekendmaking en de eenvoud van exploitatie, is een medium tot hoog risico waarschijnlijk. Er zijn geen meldingen van actieve campagnes bekend.
WordPress websites utilizing the Woocommerce Product Design plugin, particularly those running older versions (≤1.0.0), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable, as are sites with weak file permission configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-product-design/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woocommerce-product-design/../../../../etc/passwddisclosure
Exploit Status
EPSS
12.65% (94% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-50508 is het upgraden van de Woocommerce Product Design plugin naar versie 1.0.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegangsrechten tot de plugin directory via de webserver configuratie (bijvoorbeeld met .htaccess regels). Controleer ook de webserver logs op verdachte activiteit die kan wijzen op pogingen tot path traversal. Implementeer een Web Application Firewall (WAF) met regels die path traversal pogingen detecteren en blokkeren. Na de upgrade, controleer de webserver logs en de plugin configuratie om te bevestigen dat de kwetsbaarheid is verholpen.
Actualice el plugin Woocommerce Product Design a una versión posterior a la 1.0.0, si existe, que corrija la vulnerabilidad de Path Traversal. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización segura. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-50508 is a HIGH severity vulnerability allowing attackers to read files outside the intended directory in Woocommerce Product Design versions up to 1.0.0.
You are affected if you are using Woocommerce Product Design version 1.0.0 or earlier. Check your plugin version and upgrade immediately.
Upgrade to Woocommerce Product Design version 1.0.1 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that it will be exploited once a proof-of-concept is available.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.