Platform
wordpress
Component
opal-woo-custom-product-variation
Opgelost in
1.1.4
CVE-2024-52444 beschrijft een 'Path Traversal' kwetsbaarheid in de Opal Woo Custom Product Variation plugin voor WordPress. Deze kwetsbaarheid stelt aanvallers in staat om via manipulatie van paden toegang te krijgen tot bestanden buiten de toegestane directory. De kwetsbaarheid treft versies van de plugin tot en met 1.1.3. Een fix is beschikbaar in versie 1.1.4.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de webserver. Dit omvat mogelijk configuratiebestanden, broncode, database-dumps of andere kritieke gegevens. De impact kan variëren afhankelijk van de bestanden die toegankelijk zijn, maar kan in het ergste geval leiden tot volledige controle over de server. Dit soort path traversal kwetsbaarheden worden vaak gebruikt om een eerste voet aan de grond te krijgen op een systeem en verdere aanvallen uit te voeren.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar via het NVD. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar het is waarschijnlijk dat aanvallers deze kwetsbaarheid zullen proberen te exploiteren. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van mitigatie onderstreept.
WordPress websites utilizing the Opal Woo Custom Product Variation plugin, particularly those hosting sensitive data or running older, unpatched versions (≤1.1.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Attempt path traversaldisclosure
Exploit Status
EPSS
0.16% (37% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Opal Woo Custom Product Variation plugin naar versie 1.1.4 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van de webservergebruiker om de schade te beperken. Controleer ook de webserverconfiguratie op mogelijke instellingen die path traversal kunnen vergemakkelijken. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren.
Actualice el plugin Opal Woo Custom Product Variation a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-52444 is a HIGH severity vulnerability allowing attackers to read files outside intended directories in Opal Woo Custom Product Variation versions ≤1.1.3 due to improper path validation.
You are affected if you are using Opal Woo Custom Product Variation version 1.1.3 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Opal Woo Custom Product Variation plugin to version 1.1.4 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official Opal Woo website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.