Plataforma
wordpress
Componente
hippoo
Corregido en
1.7.2
La vulnerabilidad CVE-2025-13339 es una falla de Recorrido de Directorio (Path Traversal) presente en el plugin Hippoo Mobile App para WooCommerce de WordPress. Esta falla permite a atacantes no autenticados acceder y leer archivos arbitrarios en el servidor, comprometiendo potencialmente información confidencial. Afecta a las versiones desde 0.0.0 hasta la 1.7.1, y se ha solucionado en la versión 1.7.2.
Un atacante que explote esta vulnerabilidad puede leer cualquier archivo al que el servidor tenga acceso, independientemente de la autenticación. Esto incluye archivos de configuración, archivos de código fuente, archivos de registro y otros archivos que puedan contener información sensible como contraseñas, claves API, datos de bases de datos o información personal de los usuarios. La exposición de esta información podría resultar en la comprometer la integridad y confidencialidad del sitio web y sus datos. La capacidad de leer archivos arbitrarios también podría ser utilizada para escalar privilegios o ejecutar código malicioso en el servidor, dependiendo de los permisos del usuario bajo el cual se ejecuta el proceso del plugin.
La vulnerabilidad fue publicada el 10 de diciembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal hace que sea una vulnerabilidad de alta probabilidad de ser explotada. Es importante aplicar las mitigaciones o actualizar el plugin lo antes posible. La vulnerabilidad no se encuentra en el catálogo KEV de CISA al momento de esta redacción.
Websites utilizing the Hippoo Mobile App for WooCommerce plugin, particularly those running older versions (0.0.0–1.7.1), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher concentration of WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/hippoo-mobile-app-for-woocommerce/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/hippoo-mobile-app-for-woocommerce/../../../../etc/passwd' # Check for file disclosure• wordpress / composer / npm:
wp plugin list --status=active | grep 'hippoo-mobile-app-for-woocommerce'• wordpress / composer / npm:
wp plugin update hippoo-mobile-app-for-woocommercedisclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Hippoo Mobile App para WooCommerce a la versión 1.7.2 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales. Restringir los permisos del usuario bajo el cual se ejecuta el plugin puede limitar el daño potencial. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres de recorrido de directorio (como '..' o '/') en la ruta del archivo puede ayudar a prevenir la explotación. Monitorear los registros del servidor en busca de intentos de acceso a archivos inusuales también puede ayudar a detectar y responder a ataques.
Actualizar a la versión 1.7.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13339 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server due to insufficient input validation in the Hippoo Mobile App for WooCommerce plugin.
You are affected if you are using Hippoo Mobile App for WooCommerce versions 0.0.0 through 1.7.1. Upgrade to version 1.7.2 or later to resolve the issue.
Upgrade the Hippoo Mobile App for WooCommerce plugin to version 1.7.2 or later. As a temporary workaround, implement a WAF rule to block suspicious path traversal attempts.
While no public exploits are currently known, the ease of exploitation suggests a medium probability of exploitation. Continuous monitoring is recommended.
Refer to the official Hippoo Mobile App website and WordPress plugin repository for updates and advisories related to CVE-2025-13339.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.