Kostenlos scannen
Analyse ausstehendCVE-2025-48148

CVE-2025-48148: Arbitrary File Access in StoreKeeper for WooCommerce

Plattform

wordpress

Komponente

storekeeper-for-woocommerce

Behoben in

14.4.5

Auf NVD ansehen
Speichern

CVE-2025-48148 describes an Arbitrary File Access vulnerability discovered in StoreKeeper for WooCommerce. This flaw allows attackers to upload files of any type, bypassing security restrictions and potentially leading to severe consequences, including remote code execution. The vulnerability affects versions from 0 through 14.4.4, and a patch is available in version 14.4.5.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarienwird übersetzt…

The Arbitrary File Access vulnerability in StoreKeeper for WooCommerce poses a significant threat. An attacker could upload malicious files, such as web shells or backdoors, directly to the server. This could grant them unauthorized access, allowing them to execute arbitrary code, steal sensitive data (customer information, order details, payment information), modify website content, or even take complete control of the WooCommerce store. The ability to upload any file type circumvents typical file type validation, making exploitation easier. Successful exploitation could lead to a complete compromise of the e-commerce platform and associated data, resulting in significant financial and reputational damage.

Ausnutzungskontextwird übersetzt…

CVE-2025-48148 has been published on 2025-08-20. The vulnerability's CRITICAL CVSS score (10) indicates a high probability of exploitation. Public proof-of-concept (POC) code is likely to emerge, increasing the risk. Monitor security advisories and threat intelligence feeds for any signs of active exploitation campaigns targeting StoreKeeper for WooCommerce installations. The unrestricted file upload nature of this vulnerability makes it a prime target for automated scanning and exploitation.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.28% (51% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbaryes
Technische Auswirkungtotal

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H10.0CRITICALAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityHighRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.

Betroffene Software

Komponentestorekeeper-for-woocommerce
HerstellerStoreKeeper B.V.
Mindestversion0
Höchstversion14.4.4
Behoben in14.4.5

Schwachstellen-Klassifikation (CWE)

CWE-434

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert

Mitigation und Workaroundswird übersetzt…

The primary mitigation for CVE-2025-48148 is to immediately upgrade StoreKeeper for WooCommerce to version 14.4.5 or later. If upgrading is not immediately possible due to compatibility issues or testing requirements, consider implementing temporary workarounds. These may include strict file type validation on the server-side (beyond what StoreKeeper provides), restricting file upload directories, and implementing a Web Application Firewall (WAF) with rules to block suspicious file uploads. Regularly review uploaded files for any anomalies. After upgrading, confirm the fix by attempting to upload a file with a known dangerous extension (e.g., .php) and verifying that the upload is blocked.

So behebenwird übersetzt…

Actualice el plugin StoreKeeper for WooCommerce a la última versión disponible para solucionar la vulnerabilidad de carga arbitraria de archivos.  Verifique las actualizaciones disponibles en el panel de administración de WordPress o en el repositorio oficial de plugins de WordPress.  Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2025-48148 — Arbitrary File Access in StoreKeeper for WooCommerce?

CVE-2025-48148 is a critical vulnerability allowing attackers to upload any file type to a StoreKeeper for WooCommerce store, potentially leading to remote code execution. It affects versions 0–14.4.4 and has a CVSS score of 10.

Am I affected by CVE-2025-48148 in StoreKeeper for WooCommerce?

If you are using StoreKeeper for WooCommerce versions 0 through 14.4.4, you are affected by this vulnerability. Immediately check your version and upgrade if necessary.

How do I fix CVE-2025-48148 in StoreKeeper for WooCommerce?

The recommended fix is to upgrade StoreKeeper for WooCommerce to version 14.4.5 or later. If immediate upgrade is not possible, implement temporary workarounds like strict file type validation and WAF rules.

Is CVE-2025-48148 being actively exploited?

While no active exploitation has been publicly confirmed, the vulnerability's CRITICAL severity and ease of exploitation suggest a high probability of exploitation. Continuous monitoring is crucial.

Where can I find the official StoreKeeper advisory for CVE-2025-48148?

Refer to the official StoreKeeper for WooCommerce website and security advisories for the latest information and updates regarding CVE-2025-48148: [https://storekeeper.github.io/]

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen
liveKostenloser Scan

Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...