CVE-2026-7547

Nome do Software Vulnerável e Versões Afetadas Woosa – Marktplaats for WooCommerce versões anteriores a 2.0.5

Description A sanitização insuficiente de caminhos na função render logs ui() permite que atacantes autenticados com nível de acesso de Administrador leiam arquivos arbitrários no servidor, como o wp-config. O problema ocorre porque o plugin aceita um nome de arquivo codificado em base64 através do parâmetro GET 'log file' e o concatena com o caminho do diretório de logs sem verificar se o caminho resultante permanece dentro do diretório pretendido. Isso leva a um Path Traversal, que é uma técnica usada para acessar arquivos e diretórios armazenados fora da pasta raiz da web.

Recommendations Atualize para uma versão posterior a 2.0.4. Como medida paliativa temporária, restrinja o acesso à função render logs ui() ou ao parâmetro 'log file' até que a atualização seja aplicada.