Plataforma
wordpress
Componente
dc-woocommerce-multi-vendor
Corregido en
4.2.15
La vulnerabilidad CVE-2025-0493 afecta al plugin MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution para WordPress. Esta vulnerabilidad de Inclusión de Archivos Local Limitada (LFI) permite a atacantes no autenticados incluir archivos PHP en el servidor, lo que podría resultar en la ejecución de código malicioso. Las versiones afectadas son desde 0.0.0 hasta la 4.2.14. Se recomienda actualizar a la versión 4.2.15 para solucionar el problema.
Un atacante que explote esta vulnerabilidad podría incluir archivos PHP arbitrarios en el servidor, lo que le permitiría ejecutar código malicioso con los permisos del usuario web. Esto podría resultar en la toma de control completa del sitio web, el robo de datos sensibles (como información de clientes o datos de productos), la modificación de contenido o la instalación de puertas traseras. La capacidad de ejecutar código PHP en el servidor representa un riesgo significativo, ya que el atacante podría escalar privilegios y comprometer la integridad y confidencialidad de los datos. La inclusión de archivos PHP podría permitir la ejecución de código malicioso directamente en el servidor web, lo que podría comprometer la infraestructura subyacente.
La vulnerabilidad CVE-2025-0493 fue publicada el 31 de enero de 2025. No se ha reportado su inclusión en el KEV de CISA al momento de esta redacción. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad LFI la hace susceptible a explotación. La falta de autenticación requerida para explotar la vulnerabilidad aumenta su probabilidad de ser atacada.
This vulnerability primarily affects websites using the MultiVendorX plugin for WooCommerce. Specifically, sites running older versions (0.0.0–4.2.14) are at risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit the vulnerability to compromise other sites on the same server.
• wordpress / composer / npm:
grep -r 'tabname' /var/www/html/wp-content/plugins/multivendorx/• wordpress / composer / npm:
wp plugin list | grep multivendorx• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/multivendorx/includes/tabname.php | head -n 1• generic web:
Check WordPress access logs for requests containing tabname=../ or similar path traversal attempts.
disclosure
Estado del Exploit
EPSS
0.49% (65% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin MultiVendorX a la versión 4.2.15 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Restrinja el acceso al parámetro tabname para evitar la inclusión de archivos no autorizados. Implemente reglas en el servidor web (WAF o proxy) para bloquear solicitudes que intenten incluir archivos PHP desde ubicaciones no permitidas. Revise los archivos de registro del servidor web en busca de patrones sospechosos relacionados con la inclusión de archivos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el parámetro tabname ya no permite la inclusión de archivos PHP arbitrarios.
Actualice el plugin MultiVendorX a la versión 4.2.15 o superior para mitigar la vulnerabilidad de inclusión de archivos locales limitada. Esta actualización aborda la falla al validar correctamente el parámetro 'tabname', previniendo la ejecución de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0493 es una vulnerabilidad de Inclusión de Archivos Local Limitada (LFI) en el plugin MultiVendorX para WordPress, que permite a atacantes no autenticados ejecutar código PHP.
Si está utilizando el plugin MultiVendorX en versiones 0.0.0 hasta 4.2.14, es vulnerable a esta vulnerabilidad.
Actualice el plugin MultiVendorX a la versión 4.2.15 o superior para solucionar la vulnerabilidad.
Aunque no se han reportado explotaciones activas, la naturaleza de la vulnerabilidad la hace susceptible a ataques.
Consulte el sitio web oficial de MultiVendorX o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.