Plataforma
wordpress
Componente
woocommerce-sendinblue-newsletter-subscription
Corrigido em
4.0.18
A vulnerabilidade CVE-2024-32807 é um problema de Acesso Arbitrário de Arquivos (Path Traversal) descoberto no plugin Brevo Sendinblue para WooCommerce. Essa falha permite que um atacante manipule a entrada web para acessar arquivos no sistema de arquivos do servidor, potencialmente expondo informações sensíveis ou executando código malicioso. Versões do plugin Brevo Sendinblue para WooCommerce anteriores à 4.0.18 são vulneráveis. Uma atualização para a versão 4.0.18 resolve essa vulnerabilidade.
Um atacante explorando com sucesso a vulnerabilidade CVE-2024-32807 pode ler arquivos arbitrários no servidor web, incluindo arquivos de configuração, chaves de API e até mesmo código-fonte. Isso pode levar à exposição de informações confidenciais, como credenciais de banco de dados, chaves de API de serviços externos e dados de clientes. Em cenários mais graves, um atacante pode até mesmo ser capaz de executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do site WordPress e seus dados. A gravidade da vulnerabilidade reside na facilidade de exploração e no potencial de impacto significativo nos dados e na segurança do servidor.
A vulnerabilidade CVE-2024-32807 foi divulgada em 6 de maio de 2024. Não há relatos públicos de exploração ativa no momento, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo atraente para atacantes. A ausência de um KEV listing indica que a CISA ainda não avaliou o risco como crítico. A existência de um Proof of Concept (PoC) público poderia aumentar a probabilidade de exploração.
Websites using Brevo for WooCommerce, particularly those with older versions (≤4.0.17), are at risk. Shared hosting environments are especially vulnerable, as attackers could potentially exploit this vulnerability to gain access to other websites hosted on the same server. Sites with weak file permission configurations are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/brevo-sendinblue-woocommerce/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/brevo-sendinblue-woocommerce/../../../../etc/passwd' # Attempt path traversaldisclosure
Status do Exploit
EPSS
0.50% (percentil 66%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-32807 é atualizar o plugin Brevo Sendinblue para WooCommerce para a versão 4.0.18 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de uploads do WordPress e monitorar os logs do servidor em busca de atividades suspeitas. Implementar um Web Application Firewall (WAF) com regras para bloquear tentativas de Path Traversal também pode ajudar a mitigar o risco. Após a atualização, verifique se o plugin está funcionando corretamente e se não há novos erros ou problemas de compatibilidade.
Actualice el plugin Brevo for WooCommerce a una versión posterior a la 4.0.17. Esto solucionará la vulnerabilidad de path traversal que permite la descarga y eliminación arbitraria de archivos. La actualización se puede realizar directamente desde el panel de administración de WordPress.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-32807 is a HIGH severity vulnerability allowing attackers to access files on a server through Brevo for WooCommerce versions up to 4.0.17.
Yes, if you are using Brevo for WooCommerce version 4.0.17 or earlier, you are affected by this vulnerability.
Upgrade Brevo for WooCommerce to version 4.0.18 or later. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high risk of future attacks.
Refer to the Brevo security advisory for detailed information and updates: [https://security.brevo.com/](https://security.brevo.com/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.