Plataforma
wordpress
Componente
woosa-ai-for-woocommerce
Corregido en
1.3.1
La vulnerabilidad CVE-2025-14301 es una falla de Path Traversal que afecta al plugin Integration Opvius AI for WooCommerce para WordPress, en versiones desde 0.0.0 hasta 1.3.0. Esta falla permite a atacantes no autenticados acceder y manipular archivos sensibles en el servidor. La explotación exitosa podría resultar en la pérdida de datos críticos o la toma de control del sitio web. Se recomienda actualizar el plugin a la versión corregida o implementar medidas de mitigación inmediatas.
La vulnerabilidad de Path Traversal en Integration Opvius AI for WooCommerce permite a un atacante no autenticado manipular la ruta de los archivos a través del parámetro wsaw-log[] en una solicitud POST. Esto significa que un atacante puede leer archivos arbitrarios en el servidor, incluyendo archivos de configuración sensibles como wp-config.php, que contiene credenciales de la base de datos. Además, el atacante podría eliminar archivos críticos, lo que provocaría la interrupción del servicio o incluso la corrupción del sitio web. La falta de autenticación y validación de la entrada del usuario hace que esta vulnerabilidad sea particularmente peligrosa, ya que no requiere credenciales para ser explotada. La severidad crítica de CVSS 9.8 refleja el alto riesgo de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad del sitio web.
Actualmente, no se han reportado campañas de explotación activas conocidas para CVE-2025-14301. Sin embargo, la vulnerabilidad es de alta severidad y la disponibilidad de un PoC público podría aumentar el riesgo de explotación. La vulnerabilidad ha sido agregada al catálogo KEV de CISA (CISA Known Exploited Vulnerabilities), lo que indica una alta probabilidad de explotación. Se recomienda monitorear de cerca los sistemas afectados y aplicar las mitigaciones necesarias lo antes posible. La fecha de publicación de la vulnerabilidad es 2026-01-14.
WordPress websites utilizing the Integration Opvius AI for WooCommerce plugin, particularly those running vulnerable versions (0.0.0–1.3.0), are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'wsaw-log[]' /var/www/html/wp-content/plugins/integration-opvius-ai-for-woocommerce/• generic web:
curl -I 'https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=process_table_bulk_actions&wsaw-log%5B%5D=../../../../wp-config.php' # Check for 200 OK response indicating successful file accessdisclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-14301 es actualizar el plugin Integration Opvius AI for WooCommerce a la versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de mitigación temporales. Restringir el acceso al directorio del plugin a través de reglas de firewall o WAF (Web Application Firewall) puede ayudar a prevenir el acceso no autorizado. Además, se recomienda revisar los permisos de los archivos y directorios del plugin para asegurar que solo el usuario web tenga acceso de lectura y escritura. Implementar una validación estricta de la entrada del usuario en la función processtablebulk_actions() es crucial para prevenir futuras explotaciones. Después de la actualización, verifique que la vulnerabilidad haya sido corregida revisando los logs del servidor en busca de intentos de acceso no autorizados.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14301 is a critical Path Traversal vulnerability affecting versions 0.0.0–1.3.0 of the Integration Opvius AI for WooCommerce plugin, allowing attackers to access or delete files.
If you are using Opvius AI for WooCommerce versions 0.0.0 through 1.3.0, you are potentially affected and should upgrade immediately.
Upgrade to the latest version of the Integration Opvius AI for WooCommerce plugin as soon as a patched version is released. Temporarily disable the plugin if an upgrade is not immediately available.
While active exploitation is not yet confirmed, the vulnerability's critical severity and ease of exploitation suggest it is likely to be targeted soon.
Refer to the Opvius AI website and WordPress plugin repository for official advisories and updates regarding CVE-2025-14301.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.