Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2025-49302: RCE in Easy Stripe Payment Gateway
wird übersetzt…Plattform
wordpress
Komponente
easy-stripe
Behoben in
1.1.1
CVE-2025-49302 describes a Remote Code Execution (RCE) vulnerability within the Easy Stripe payment gateway. This flaw, stemming from improper code generation control (code injection), allows attackers to include arbitrary code, potentially granting them complete control over affected systems. The vulnerability impacts Easy Stripe versions 0.0 up to and including 1.1, with a fix available in version 1.1.1.
Erkenne diese CVE in deinem Projekt
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Auswirkungen und Angriffsszenarienwird übersetzt…
The impact of this RCE vulnerability is severe. An attacker exploiting CVE-2025-49302 can execute arbitrary code on the server hosting the Easy Stripe payment gateway. This could lead to complete system compromise, including data exfiltration (sensitive customer payment information, database credentials), modification of system files, and installation of malware. The attacker could also leverage this access to move laterally within the network, compromising other systems and escalating privileges. Given the nature of a payment gateway, the potential for financial fraud and reputational damage is significant.
Ausnutzungskontextwird übersetzt…
The vulnerability's public disclosure date is 2025-07-04. Exploitation probability is currently assessed as medium, given the RCE nature and the potential for easy exploitation once a suitable payload is crafted. No public Proof-of-Concept (POC) exploits have been observed at the time of writing, but the ease of code inclusion suggests that POCs are likely to emerge. This vulnerability is not currently listed on KEV or EPSS, but its critical severity warrants close monitoring.
Bedrohungsanalyse
Exploit-Status
EPSS
0.09% (25% Perzentil)
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
- Privileges Required
- Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
- User Interaction
- Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
- Scope
- Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
- Confidentiality
- Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
- Integrity
- Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
- Availability
- Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
- EPSS aktualisiert
Mitigation und Workaroundswird übersetzt…
The primary mitigation for CVE-2025-49302 is to immediately upgrade Easy Stripe to version 1.1.1 or later. If upgrading is not immediately feasible due to compatibility issues or downtime concerns, consider implementing a temporary workaround by restricting file access permissions on the server hosting Easy Stripe. Specifically, ensure that the include_path configuration is carefully reviewed and that only trusted directories are included. Implement a Web Application Firewall (WAF) with rules to detect and block attempts to include arbitrary files. After upgrading, verify the fix by attempting to trigger the code inclusion vulnerability and confirming that it is no longer exploitable.
So behebenwird übersetzt…
Actualiza el plugin Easy Stripe a la versión 1.1.1 o superior para mitigar la vulnerabilidad de ejecución remota de código. Asegúrate de realizar una copia de seguridad de tu sitio web antes de actualizar cualquier plugin.
Häufig gestellte Fragenwird übersetzt…
What is CVE-2025-49302 — RCE in Easy Stripe Payment Gateway?
CVE-2025-49302 is a critical Remote Code Execution (RCE) vulnerability in Easy Stripe, allowing attackers to execute arbitrary code. It affects versions 0.0 through 1.1 and can lead to full system compromise and data theft.
Am I affected by CVE-2025-49302 in Easy Stripe Payment Gateway?
If you are using Easy Stripe version 0.0 through 1.1, you are affected by this vulnerability. Immediately check your version and upgrade to 1.1.1 or later.
How do I fix CVE-2025-49302 in Easy Stripe Payment Gateway?
The recommended fix is to upgrade Easy Stripe to version 1.1.1 or later. As a temporary workaround, restrict file access permissions and implement WAF rules to prevent code inclusion.
Is CVE-2025-49302 being actively exploited?
While no public exploits have been observed, the vulnerability's severity and ease of exploitation suggest that active exploitation is possible. Continuous monitoring is recommended.
Where can I find the official Easy Stripe advisory for CVE-2025-49302?
Refer to the official Easy Stripe website and security advisories for the latest information and updates regarding CVE-2025-49302. Check their documentation and release notes.
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Erkenne diese CVE in deinem Projekt
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto
Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.
Abhängigkeitsdatei hier ablegen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...