Plataforma
wordpress
Componente
opal-woo-custom-product-variation
Corrigido em
1.1.4
A vulnerabilidade CVE-2024-52444 representa uma falha de Path Traversal (Acesso Arbitrário a Arquivos) no plugin Opal Woo Custom Product Variation para WordPress. Essa falha permite que um atacante acesse arquivos sensíveis no servidor, potencialmente comprometendo a confidencialidade e integridade dos dados. As versões afetadas são aquelas anteriores ou iguais a 1.1.3. A correção foi disponibilizada na versão 1.1.4.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos arbitrários no servidor web. Isso pode incluir arquivos de configuração, arquivos de log, ou até mesmo código-fonte de outras aplicações. O acesso a arquivos de configuração pode revelar credenciais de banco de dados ou chaves de API, permitindo o acesso não autorizado a outros sistemas. A leitura de arquivos de log pode fornecer informações sobre a atividade do usuário e potenciais vulnerabilidades. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor, dependendo das permissões do usuário web e da configuração do ambiente.
A vulnerabilidade foi divulgada em 20 de novembro de 2024. Não há evidências públicas de exploração ativa em larga escala no momento. A pontuação de probabilidade de exploração (EPSS) ainda não foi determinada. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
WordPress websites utilizing the Opal Woo Custom Product Variation plugin, particularly those hosting sensitive data or running older, unpatched versions (≤1.1.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Attempt path traversaldisclosure
Status do Exploit
EPSS
0.16% (percentil 37%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-52444 é atualizar o plugin Opal Woo Custom Product Variation para a versão 1.1.4 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso ao diretório do plugin através de regras de firewall ou WAF (Web Application Firewall). Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos, especialmente aqueles que utilizam sequências como '../'. Implemente uma política de permissões de arquivos rigorosa para garantir que o usuário web tenha apenas as permissões necessárias.
Actualice el plugin Opal Woo Custom Product Variation a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-52444 is a HIGH severity vulnerability allowing attackers to read files outside intended directories in Opal Woo Custom Product Variation versions ≤1.1.3 due to improper path validation.
You are affected if you are using Opal Woo Custom Product Variation version 1.1.3 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Opal Woo Custom Product Variation plugin to version 1.1.4 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official Opal Woo website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.