Plataforma
wordpress
Componente
woocommerce-checkout-field-editor-pro
Corrigido em
3.6.3
A vulnerabilidade CVE-2024-35658 é classificada como Path Traversal (Acesso Arbitrário a Arquivos) no plugin Checkout Field Editor for WooCommerce (Pro). Essa falha permite que atacantes acessem arquivos arbitrários no servidor, potencialmente expondo informações sensíveis ou comprometendo a integridade do sistema. A vulnerabilidade afeta versões do plugin até a 3.6.2 e foi corrigida na versão 3.6.3.
Um atacante explorando essa vulnerabilidade pode ler arquivos fora do diretório pretendido, incluindo arquivos de configuração, código-fonte e dados sensíveis do usuário. Isso pode levar à divulgação de informações confidenciais, como chaves de API, senhas e dados de clientes. Em cenários mais graves, um atacante pode até mesmo modificar arquivos no servidor, comprometendo a funcionalidade do site ou injetando código malicioso. A exploração bem-sucedida pode resultar em acesso não autorizado a dados críticos e potencial comprometimento do servidor web.
A vulnerabilidade foi divulgada em 10 de junho de 2024. Não há evidências de exploração ativa em campanhas em larga escala no momento. A vulnerabilidade está listada no NVD (National Vulnerability Database). A probabilidade de exploração é considerada média devido à sua natureza de Path Traversal e à disponibilidade potencial de exploits.
Websites using WooCommerce with the Checkout Field Editor for WooCommerce (Pro) plugin, particularly those running older versions (≤3.6.2), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher concentration of WooCommerce installations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/checkout-field-editor-for-woocommerce-pro/*• generic web:
curl -I 'https://your-website.com/wp-content/plugins/checkout-field-editor-for-woocommerce-pro/../../../../etc/passwd' # Check for directory traversaldisclosure
Status do Exploit
EPSS
0.25% (percentil 48%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Checkout Field Editor for WooCommerce (Pro) para a versão 3.6.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório. Implementar regras de firewall de aplicação web (WAF) para bloquear solicitações que tentam acessar arquivos fora do diretório pretendido também pode ajudar. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos.
Actualice el plugin Checkout Field Editor for WooCommerce (Pro) a la última versión disponible. La vulnerabilidad permite la eliminación arbitraria de archivos, por lo que es crucial actualizar para proteger su sitio web. Si no hay una versión disponible, considere deshabilitar el plugin temporalmente hasta que se publique una actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-35658 is a HIGH severity vulnerability in Checkout Field Editor for WooCommerce (Pro) allowing attackers to access files outside the intended directory. It affects versions ≤3.6.2 and has a CVSS score of 8.6.
Yes, if you are using Checkout Field Editor for WooCommerce (Pro) version 3.6.2 or earlier, you are vulnerable to this Arbitrary File Access issue.
Upgrade to Checkout Field Editor for WooCommerce (Pro) version 3.6.3 or later to resolve the vulnerability. Consider temporary workarounds like WAF rules if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the official ThemeHigh website and WooCommerce security resources for the latest advisory and updates regarding CVE-2024-35658.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.