Plataforma
wordpress
Componente
woocommerce-delivery-notes
Corregido en
5.8.1
La vulnerabilidad CVE-2025-13773 es una ejecución remota de código (RCE) que afecta al plugin Print Invoice & Delivery Notes for WooCommerce para WordPress. Esta falla permite a atacantes no autenticados ejecutar código arbitrario en el servidor debido a una verificación de capacidades faltante y un escape incorrecto en el código fuente. Las versiones afectadas son desde la 0.0.0 hasta la 5.8.0. La solución es actualizar el plugin a la versión 5.9.0.
Un atacante puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor donde está instalado el plugin Print Invoice & Delivery Notes for WooCommerce. Esto podría resultar en la toma de control completa del sitio web, robo de datos sensibles, modificación de contenido, o incluso el uso del servidor para lanzar ataques a otros sistemas. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el riesgo, ya que cualquier usuario externo puede intentar la ejecución de código. La combinación de PHP habilitado en Dompdf y la ausencia de un escape adecuado en el archivo 'template.php' crea una ruta de ataque directa y fácil de explotar.
La vulnerabilidad CVE-2025-13773 fue publicada el 24 de diciembre de 2025. No se ha confirmado explotación activa en entornos reales, pero la alta severidad (CVSS 9.8) y la facilidad de explotación sugieren un riesgo significativo. La falta de una entrada en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA indica que aún no se considera una amenaza crítica a nivel nacional, pero la disponibilidad de la vulnerabilidad y su impacto potencial justifican una atención inmediata.
WordPress websites utilizing the Print Invoice & Delivery Notes for WooCommerce plugin, particularly those running older versions (0.0.0 – 5.8.0), are at significant risk. Shared hosting environments are especially vulnerable as they often lack granular control over plugin updates and security configurations. Sites with legacy WordPress installations or those that haven't implemented robust security practices are also at increased risk.
• wordpress / plugin:
wp plugin list | grep 'Print Invoice & Delivery Notes'• wordpress / plugin: Check plugin version using wp plugin list and verify it's below 5.9.0.
• wordpress / plugin: Examine template.php for unescaped user input.
• wordpress / server: Monitor web server access logs for requests to WooCommerceDeliveryNotes::update from unusual IP addresses.
• wordpress / server: Check for suspicious files created in the plugin's directory.
disclosure
Estado del Exploit
EPSS
0.45% (63% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Print Invoice & Delivery Notes for WooCommerce a la versión 5.9.0, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas temporales. Deshabilitar temporalmente el plugin puede reducir el riesgo, aunque afectará la funcionalidad de generación de facturas e informes de entrega. Además, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas dirigidas a la función 'WooCommerceDeliveryNotes::update'. Monitorear los logs del servidor en busca de patrones de ejecución de código inusuales también puede ayudar a detectar intentos de explotación.
Actualizar a la versión 5.9.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13773 is a critical Remote Code Execution vulnerability affecting the Print Invoice & Delivery Notes for WooCommerce plugin, allowing attackers to execute code on the server.
You are affected if you are using Print Invoice & Delivery Notes for WooCommerce versions 0.0.0 through 5.8.0. Upgrade to 5.9.0 or later to resolve the issue.
Upgrade the Print Invoice & Delivery Notes for WooCommerce plugin to version 5.9.0 or later. If immediate upgrade is not possible, disable the plugin temporarily.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of exploitation. Monitor security advisories.
Refer to the plugin developer's website or the WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.