Plataforma
wordpress
Componente
xforwoocommerce
Corrigido em
2.0.3
Uma vulnerabilidade de Path Traversal foi descoberta no plugin XforWooCommerce, permitindo a inclusão de arquivos locais (LFI) através de manipulação de caminhos. Essa falha permite que um atacante acesse arquivos arbitrários no servidor, potencialmente expondo informações confidenciais ou executando código malicioso. A vulnerabilidade afeta versões do XforWooCommerce anteriores ou iguais a 2.0.2 e foi corrigida na versão 2.0.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos PHP arbitrários no servidor. Isso pode levar ao acesso não autorizado a arquivos de configuração, código-fonte, logs ou outros dados sensíveis. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do sistema. A inclusão de arquivos locais é uma técnica comum usada para obter acesso a informações confidenciais e escalar privilégios em sistemas vulneráveis.
A vulnerabilidade foi divulgada em 4 de junho de 2024. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade (Path Traversal) a torna um alvo atraente para atacantes automatizados. A ausência de um KEV listing indica que a vulnerabilidade ainda não foi considerada uma ameaça crítica pelo CISA.
WordPress websites utilizing the XforWooCommerce plugin, particularly those running versions prior to 2.0.3, are at risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are websites with misconfigured file permissions that could exacerbate the impact of a successful exploit.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/xforwoocommerce/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/xforwoocommerce/path/to/file../sensitive_file.phpdisclosure
Status do Exploit
EPSS
1.08% (percentil 78%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin XforWooCommerce para a versão 2.0.3 ou superior, que corrige a vulnerabilidade de Path Traversal. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo apropriadas. Além disso, monitore os logs do servidor em busca de tentativas de acesso não autorizado a arquivos e configure um Web Application Firewall (WAF) para bloquear solicitações suspeitas que tentem explorar a vulnerabilidade. Após a atualização, verifique se o acesso a arquivos sensíveis está devidamente restrito.
Actualice el plugin XforWooCommerce a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-33628 is a Path Traversal vulnerability affecting the XforWooCommerce WordPress plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using XforWooCommerce version 2.0.2 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade the XforWooCommerce plugin to version 2.0.3 or later to remediate the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's nature suggests that exploits are likely to emerge, making prompt mitigation crucial.
Refer to the XforWooCommerce official website or WordPress plugin repository for the latest advisory and update information regarding CVE-2024-33628.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.