Plataforma
wordpress
Componente
woocommerce-openpos
Corrigido em
6.4.5
Uma vulnerabilidade de acesso arbitrário a arquivos (Path Traversal) foi descoberta no plugin Woocommerce OpenPos, permitindo a manipulação de arquivos. Essa falha afeta versões do plugin anteriores ou iguais a 6.4.4. A vulnerabilidade foi publicada em 12 de julho de 2024 e uma correção está disponível na versão 6.4.5.
A vulnerabilidade de Path Traversal no Woocommerce OpenPos permite que um atacante acesse arquivos arbitrários no servidor, potencialmente incluindo informações confidenciais como arquivos de configuração, código-fonte ou dados de usuários. Um atacante pode explorar essa falha para ler, modificar ou até mesmo excluir arquivos, comprometendo a integridade e a confidencialidade do sistema. A exploração bem-sucedida pode levar à divulgação de informações sensíveis, execução remota de código ou até mesmo à tomada de controle total do servidor web. Embora não haja relatos públicos de exploração ativa, a facilidade de exploração e o alto impacto potencial tornam esta vulnerabilidade uma prioridade para correção.
A vulnerabilidade foi divulgada publicamente em 12 de julho de 2024. Não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA até o momento. Embora não haja relatos de exploração ativa, a facilidade de exploração e o alto impacto potencial indicam um risco significativo. É recomendável aplicar a correção o mais rápido possível.
Websites utilizing Woocommerce OpenPos plugin, particularly those running older versions (≤6.4.4), are at risk. Shared hosting environments where file system permissions are not tightly controlled are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-openpos/*• generic web:
curl -I https://your-website.com/wp-content/plugins/woocommerce-openpos/../../../../etc/passwd # Check for path traversaldisclosure
Status do Exploit
EPSS
0.42% (percentil 62%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2024-37932 é atualizar o plugin Woocommerce OpenPos para a versão 6.4.5 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado do plugin. Verifique se as permissões de arquivos e diretórios estão configuradas corretamente para evitar acesso não autorizado.
Actualice el plugin Woocommerce OpenPos a una versión posterior a la 6.4.4. Esto solucionará la vulnerabilidad de eliminación arbitraria de archivos. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-37932 is a HIGH severity vulnerability allowing attackers to manipulate files in Woocommerce OpenPos versions up to 6.4.4, potentially leading to data exposure or server compromise.
You are affected if you are using Woocommerce OpenPos version 6.4.4 or earlier. Upgrade to version 6.4.5 to resolve the vulnerability.
Upgrade Woocommerce OpenPos to version 6.4.5 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature makes it likely that exploitation attempts will occur.
Refer to the official Woocommerce security advisory for details: [https://woocommerce.com/security/](https://woocommerce.com/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.