Plataforma
wordpress
Componente
woo-product-design
Corrigido em
1.0.1
A vulnerabilidade CVE-2024-50508 representa um problema de Acesso Arbitrário de Arquivo (Path Traversal) identificado no plugin Woocommerce Product Design. Essa falha permite que um atacante, sob certas condições, acesse arquivos fora do diretório pretendido, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin anteriores ou iguais a 1.0.0, e foi corrigida na versão 1.0.1.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos arbitrários no servidor web, incluindo arquivos de configuração, código-fonte e dados sensíveis dos usuários. Isso pode levar à divulgação de informações confidenciais, como chaves de API, senhas e dados pessoais. Em cenários mais graves, um atacante pode até mesmo modificar arquivos no servidor, comprometendo a integridade do sistema. A exploração bem-sucedida pode resultar em acesso não autorizado a dados críticos e, potencialmente, controle sobre o servidor web.
A vulnerabilidade foi publicada em 30 de outubro de 2024. Não há informações disponíveis sobre exploração ativa ou a inclusão da CVE no KEV (Know Exploited Vulnerabilities) da CISA. A existência de um Proof of Concept (PoC) público não foi confirmada até o momento, mas a natureza da vulnerabilidade (Path Traversal) a torna potencialmente explorável.
WordPress websites utilizing the Woocommerce Product Design plugin, particularly those running older versions (≤1.0.0), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable, as are sites with weak file permission configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-product-design/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/woocommerce-product-design/../../../../etc/passwddisclosure
Status do Exploit
EPSS
12.65% (percentil 94%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-50508 é atualizar o plugin Woocommerce Product Design para a versão 1.0.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado, utilizando padrões de URL suspeitos que contenham sequências como '../'.
Actualice el plugin Woocommerce Product Design a una versión posterior a la 1.0.0, si existe, que corrija la vulnerabilidad de Path Traversal. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización segura. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-50508 is a HIGH severity vulnerability allowing attackers to read files outside the intended directory in Woocommerce Product Design versions up to 1.0.0.
You are affected if you are using Woocommerce Product Design version 1.0.0 or earlier. Check your plugin version and upgrade immediately.
Upgrade to Woocommerce Product Design version 1.0.1 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that it will be exploited once a proof-of-concept is available.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.