Plataforma
wordpress
Componente
wc-designer-pro
Corregido en
1.9.29
La vulnerabilidad CVE-2025-10897 es un fallo de acceso a archivos arbitrarios presente en el tema WooCommerce Designer Pro para WordPress. Esta falla permite a atacantes no autenticados leer archivos en el servidor, lo que podría resultar en la exposición de información sensible, como las credenciales de la base de datos. La vulnerabilidad afecta a las versiones desde 1.0.0 hasta la 1.9.28, y se ha solucionado en la versión 1.9.31.
Un atacante que explote esta vulnerabilidad podría leer cualquier archivo al que el proceso del servidor web tenga acceso. Esto incluye archivos de configuración, archivos de registro y, lo más preocupante, el archivo wp-config.php, que contiene información crítica para la base de datos de WordPress, como el nombre de usuario, la contraseña y el nombre de la base de datos. La exposición de este archivo permitiría al atacante obtener acceso completo a la base de datos, comprometiendo la integridad y confidencialidad de los datos almacenados. La facilidad de explotación, combinada con la sensibilidad de los datos potencialmente expuestos, convierte a esta vulnerabilidad en un riesgo significativo para los sitios web que utilizan WooCommerce Designer Pro.
La vulnerabilidad CVE-2025-10897 fue publicada el 31 de octubre de 2025. No se ha reportado explotación activa a la fecha, pero la naturaleza sencilla de la vulnerabilidad y la disponibilidad de información sobre ella sugieren que podría ser explotada en el futuro. Es importante aplicar las mitigaciones lo antes posible para reducir el riesgo. No se ha añadido a KEV a la fecha.
Websites using WooCommerce Designer Pro theme versions 1.0.0 through 1.9.28 are at direct risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit the vulnerability on multiple websites hosted on the same server. WordPress installations with default configurations and weak file permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "wp-content/plugins/woocommerce-designer-pro/includes/" /var/log/apache2/access.log• wordpress / composer / npm:
wp plugin list --status=inactive | grep woocommerce-designer-pro• wordpress / composer / npm:
wp plugin list | grep woocommerce-designer-prodisclosure
Estado del Exploit
EPSS
0.21% (44% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar WooCommerce Designer Pro a la versión 1.9.31 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es posible de inmediato, se pueden implementar medidas temporales. Restrinja los permisos del directorio de WordPress para limitar el acceso a archivos sensibles. Implemente reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio web. Monitoree los registros del servidor web en busca de intentos de acceso a archivos inusuales, especialmente al archivo wp-config.php. Revise la configuración de WordPress para asegurar que el acceso a archivos sensibles esté restringido.
Actualizar a la versión 1.9.31, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-10897 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server running WooCommerce Designer Pro versions 1.0.0–1.9.28, potentially exposing sensitive data.
You are affected if your WordPress site uses WooCommerce Designer Pro versions 1.0.0 through 1.9.28. Check your plugin versions and upgrade immediately if vulnerable.
Upgrade WooCommerce Designer Pro to version 1.9.31 or later to resolve the vulnerability. Implement temporary workarounds like restricting file permissions if immediate upgrading is not possible.
While active exploitation is not confirmed, the vulnerability's simplicity and impact make it a likely target for attackers. Monitor your systems closely.
Refer to the WooCommerce Designer Pro website or plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.