Plataforma
wordpress
Componente
woocommerce-pdf-vouchers
Corrigido em
4.9.5
Uma vulnerabilidade de acesso arbitrário a arquivos (Path Traversal) foi descoberta no plugin WooCommerce PDF Vouchers. Essa falha permite que um atacante manipule arquivos no servidor, potencialmente comprometendo a integridade e a confidencialidade dos dados. A vulnerabilidade afeta versões do plugin anteriores à 4.9.5 e foi divulgada em 13 de agosto de 2024. A atualização para a versão 4.9.5 resolve a vulnerabilidade.
A vulnerabilidade de Path Traversal no WooCommerce PDF Vouchers permite que um atacante acesse arquivos arbitrários no servidor web, mesmo que não tenham permissão para fazê-lo normalmente. Um atacante pode explorar essa falha para ler arquivos confidenciais, como arquivos de configuração, chaves de API ou até mesmo código-fonte do site. Em cenários mais graves, um atacante pode até mesmo sobrescrever arquivos existentes ou executar código malicioso no servidor, levando a uma completa comprometimento do sistema. A manipulação de arquivos pode resultar em roubo de dados, modificação de conteúdo do site e até mesmo controle total do servidor.
A vulnerabilidade CVE-2024-39651 foi divulgada publicamente em 13 de agosto de 2024. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração, pois facilita a identificação e o uso da vulnerabilidade por atacantes. A gravidade da vulnerabilidade é classificada como ALTA devido ao seu potencial para acesso não autorizado a arquivos sensíveis.
Websites utilizing WooCommerce PDF Vouchers plugin versions prior to 4.9.5 are at risk. This includes e-commerce sites selling digital products and those relying on the plugin for voucher management. Shared hosting environments are particularly vulnerable due to the potential for cross-site contamination.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-pdf-vouchers/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woocommerce-pdf-vouchers/includes/some-file..\/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive woocommerce-pdf-vouchersdisclosure
Status do Exploit
EPSS
0.31% (percentil 54%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-39651 é atualizar o plugin WooCommerce PDF Vouchers para a versão 4.9.5 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de uploads do WordPress e implementar regras de firewall (WAF) para bloquear solicitações que contenham caracteres de Path Traversal (por exemplo, '..'). Monitore os logs do servidor em busca de tentativas de acesso a arquivos inesperados e configure alertas para detectar atividades suspeitas. Após a atualização, verifique se a vulnerabilidade foi corrigida acessando o endpoint vulnerável e confirmando que o acesso é negado.
Actualice el plugin WooCommerce PDF Vouchers a la versión 4.9.5 o superior. Esta actualización corrige la vulnerabilidad de eliminación arbitraria de archivos. Para actualizar, vaya a la sección de plugins en su panel de administración de WordPress y busque la actualización disponible.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-39651 is a HIGH severity vulnerability allowing attackers to manipulate files in WooCommerce PDF Vouchers versions ≤4.9.5, potentially leading to data exposure and server compromise.
You are affected if you are using WooCommerce PDF Vouchers version 4.9.5 or earlier. Immediately check your plugin version and upgrade if necessary.
Upgrade WooCommerce PDF Vouchers to version 4.9.5 or later. Consider implementing WAF rules and restricting file upload permissions as temporary mitigations.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation. Continuous monitoring is recommended.
Refer to the WooCommerce PDF Vouchers plugin documentation and the WPWeb website for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.