Plataforma
wordpress
Componente
woocommerce-support-ticket-system
Corrigido em
18.5.1
Uma vulnerabilidade de Acesso Arbitrário de Arquivo (Path Traversal) foi descoberta no WooCommerce Support Ticket System. Essa falha permite que atacantes acessem arquivos fora do diretório pretendido, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do sistema anteriores à 18.5 e foi publicada em 25 de março de 2026. A correção está disponível na versão 18.5.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante acesse arquivos arbitrários no servidor web. Isso pode incluir arquivos de configuração, código-fonte, backups de banco de dados ou outros dados sensíveis. Um atacante pode usar essa vulnerabilidade para obter informações confidenciais, comprometer a integridade do sistema ou até mesmo executar código malicioso, dependendo das permissões dos arquivos acessados. A gravidade da vulnerabilidade é alta devido ao potencial de acesso não autorizado a dados críticos e à facilidade de exploração.
A vulnerabilidade foi publicada em 25 de março de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
Websites utilizing the WooCommerce Support Ticket System plugin, particularly those running older, unpatched versions (prior to 18.5), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable, as are WordPress installations with weak file permission configurations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/woocommerce-support-ticket-system/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/woocommerce-support-ticket-system/../../../../etc/passwd' # Attempt path traversaldisclosure
Status do Exploit
EPSS
0.06% (percentil 20%)
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o WooCommerce Support Ticket System para a versão 18.5 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de instalação do plugin, configurar um Web Application Firewall (WAF) para bloquear solicitações maliciosas que tentam acessar arquivos fora do diretório pretendido, e monitorar os logs do servidor em busca de tentativas de acesso não autorizado. Após a atualização, verifique se a vulnerabilidade foi corrigida tentando acessar um arquivo fora do diretório pretendido e confirmando que o acesso é negado.
Atualize para a versão 18.5 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32522 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a server running versions of WooCommerce Support Ticket System before 18.5. It's a path traversal issue.
You are affected if you are using WooCommerce Support Ticket System version 18.5 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the WooCommerce Support Ticket System plugin to version 18.5 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file permissions or using a WAF.
There is currently no confirmed active exploitation of CVE-2026-32522, but the vulnerability's nature makes it a potential target.
Refer to the WooCommerce Support Ticket System plugin documentation and the WordPress security announcements for the official advisory.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.