Plataforma
wordpress
Componente
woo-permalink-manager
Corrigido em
2.3.11
Uma vulnerabilidade de Path Traversal foi descoberta no plugin Premmerce Permalink Manager para WooCommerce. Essa falha permite a inclusão de arquivos PHP arbitrários, potencialmente levando à execução de código malicioso no servidor. A vulnerabilidade afeta versões do plugin até 2.3.10 e foi corrigida na versão 2.3.11. A atualização imediata é recomendada para mitigar o risco.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos PHP arbitrários no servidor web. Isso pode resultar na execução de código malicioso, comprometendo a confidencialidade, integridade e disponibilidade do site WooCommerce. Um atacante pode, por exemplo, incluir o arquivo php.ini para modificar as configurações do PHP, ou arquivos de configuração do banco de dados para obter informações sensíveis. A inclusão de arquivos de sistema pode levar ao acesso não autorizado a outros recursos do servidor, expandindo o raio de impacto do ataque.
A vulnerabilidade foi divulgada em 17 de maio de 2024. Não há evidências de exploração ativa em campanhas em larga escala no momento. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
Websites using the Premmerce Permalink Manager for WooCommerce plugin, particularly those running older versions (≤2.3.10), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over server file permissions. Sites with misconfigured file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/wp-admin/admin.php?page=premmerce-permalink-manager&file=../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Status do Exploit
EPSS
48.09% (percentil 98%)
CISA SSVC
Vetor CVSS
A principal mitigação é a atualização imediata para a versão 2.3.11 do Premmerce Permalink Manager para WooCommerce. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a configuração de um Web Application Firewall (WAF) para bloquear solicitações maliciosas que tentam explorar a vulnerabilidade. Revise as permissões de arquivos e diretórios no servidor para garantir que apenas os usuários autorizados tenham acesso aos arquivos sensíveis. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados.
Actualice el plugin Premmerce Permalink Manager for WooCommerce a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-27971 is a Path Traversal vulnerability in Premmerce Permalink Manager for WooCommerce allowing attackers to potentially include arbitrary files, leading to sensitive information disclosure or code execution.
Yes, if you are using Premmerce Permalink Manager for WooCommerce versions 2.3.10 or earlier, you are affected by this vulnerability.
Upgrade the Premmerce Permalink Manager for WooCommerce plugin to version 2.3.11 or later. If immediate upgrade is not possible, restrict file access permissions and consider WAF rules.
While no public exploits are currently known, the vulnerability's nature makes it likely to be targeted, so prompt mitigation is crucial.
Refer to the Premmerce website and WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.