Plataforma
wordpress
Componente
woozone
Corrigido em
14.0.11
14.1.00
Uma vulnerabilidade de elevação de privilégios foi descoberta no plugin WooCommerce Amazon Affiliates para WordPress. Essa falha permite que atacantes autenticados, com permissões de assinante ou superiores, aumentem seus privilégios dentro do sistema. A vulnerabilidade afeta todas as versões anteriores à 14.1.00 e foi publicada em 25 de abril de 2024. A correção está disponível na versão 14.1.00.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante com acesso de assinante ou superior obtenha privilégios administrativos no site WordPress. Isso pode resultar em acesso não autorizado a dados confidenciais, modificação de conteúdo, instalação de software malicioso e controle total sobre o site. O impacto é significativo, pois compromete a integridade e a confidencialidade do site e dos dados dos usuários. Um atacante poderia, por exemplo, alterar as configurações do plugin, desativar medidas de segurança ou até mesmo injetar código malicioso para comprometer outros sistemas na rede.
A vulnerabilidade foi divulgada publicamente em 25 de abril de 2024. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV da CISA no momento da redação. A existência de um proof-of-concept público é desconhecida, mas a facilidade de exploração sugere que um possa ser desenvolvido rapidamente.
Websites utilizing the WooCommerce Amazon Affiliates plugin, particularly those with a large number of subscriber-level users or those lacking robust access control mechanisms, are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they have not yet applied the patch.
• wordpress / composer / npm:
wp plugin list --status=active | grep 'WooCommerce Amazon Affiliates'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep 'WooCommerce Amazon Affiliates'• wordpress / composer / npm:
wp plugin list --all | grep 'WooCommerce Amazon Affiliates' | awk '{print $1}' | sort -ndisclosure
Status do Exploit
EPSS
0.46% (percentil 64%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WooCommerce Amazon Affiliates para a versão 14.1.00 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso de usuários com permissões de assinante ou superiores. Implemente revisões regulares de permissões de usuário para identificar e remover contas desnecessárias. Monitore os logs do WordPress em busca de atividades suspeitas, como tentativas de acesso não autorizado a áreas administrativas. Se possível, utilize um plugin de segurança do WordPress para reforçar a segurança do site e detectar atividades maliciosas.
Atualize para a versão 14.1.00, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-33549 is a privilege escalation vulnerability affecting the WooCommerce Amazon Affiliates WordPress plugin, allowing authenticated subscribers to gain higher privileges.
You are affected if you are using WooCommerce Amazon Affiliates version 14.1.00 or earlier. Upgrade to 14.1.00 to resolve the issue.
Upgrade the WooCommerce Amazon Affiliates plugin to version 14.1.00 or later. Review user roles and permissions for added security.
There is currently no confirmed active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the WooCommerce website and WordPress plugin repository for the latest security advisories and updates related to CVE-2024-33549.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.