Platform
wordpress
Component
woocommerce-support-ticket-system
Opgelost in
18.5.1
CVE-2026-32522 beschrijft een Path Traversal kwetsbaarheid in het WooCommerce Support Ticket System. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van het systeem die lager zijn dan 18.5. Een update naar versie 18.5 of hoger is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om toegang te krijgen tot gevoelige bestanden op de server waarop het WooCommerce Support Ticket System draait. Dit kan omvatten configuratiebestanden, database dumps, of zelfs broncode. Afhankelijk van de bestanden die benaderd kunnen worden, kan de aanvaller gevoelige informatie stelen, de functionaliteit van de website veranderen of zelfs volledige controle over de server overnemen. Het is vergelijkbaar met andere bekende Path Traversal kwetsbaarheden waarbij de beperking van een bestandspad niet correct wordt afgedwongen, waardoor een aanvaller boven de beoogde directory kan navigeren.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-03-25. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis, maar de Path Traversal aard van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. Het is niet opgenomen in de CISA KEV catalogus op dit moment. Er zijn geen publieke Proof-of-Concept (PoC) exploits bekend.
Websites utilizing the WooCommerce Support Ticket System plugin, particularly those running older, unpatched versions (prior to 18.5), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable, as are WordPress installations with weak file permission configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-support-ticket-system/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/woocommerce-support-ticket-system/../../../../etc/passwd' # Attempt path traversaldisclosure
Exploit Status
EPSS
0.06% (20% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2026-32522 is het updaten van het WooCommerce Support Ticket System naar versie 18.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de server via een Web Application Firewall (WAF) of proxy, en het configureren van restrictieve directory-permissies. Controleer ook de webserverconfiguratie om ervoor te zorgen dat directory listing is uitgeschakeld. Na de upgrade, controleer de serverlogs op verdachte activiteit en bevestig dat de kwetsbaarheid is verholpen door te proberen toegang te krijgen tot een bestand buiten de toegestane directory.
Update naar versie 18.5, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32522 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a server running versions of WooCommerce Support Ticket System before 18.5. It's a path traversal issue.
You are affected if you are using WooCommerce Support Ticket System version 18.5 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the WooCommerce Support Ticket System plugin to version 18.5 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file permissions or using a WAF.
There is currently no confirmed active exploitation of CVE-2026-32522, but the vulnerability's nature makes it a potential target.
Refer to the WooCommerce Support Ticket System plugin documentation and the WordPress security announcements for the official advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.