Plataforma
wordpress
Componente
wp-e-commerce-style-email
Corregido en
0.6.3
Se ha identificado una vulnerabilidad de Ejecución Remota de Código (RCE) en el plugin WP e-Commerce Style Email para WordPress. Esta vulnerabilidad, clasificada como CRÍTICA, permite la inyección de código a través de una falla de Cross-Site Request Forgery (CSRF). Afecta a las versiones desde 0.0.0 hasta la 0.6.2 inclusive. La solución recomendada es actualizar el plugin a la versión 0.6.3.
La vulnerabilidad CSRF combinada con la inyección de código permite a un atacante, con conocimiento previo de la URL objetivo, ejecutar código malicioso en el servidor donde está instalado el plugin WP e-Commerce Style Email. Esto podría resultar en la toma de control completa del sitio web, la exfiltración de datos sensibles (como información de clientes o detalles de transacciones), la modificación de contenido y la instalación de puertas traseras persistentes. La inyección de código podría ser utilizada para ejecutar comandos del sistema operativo, comprometiendo la seguridad del servidor subyacente. Un atacante podría, por ejemplo, modificar archivos del sitio, insertar código malicioso en las páginas o incluso obtener acceso a la base de datos.
Esta vulnerabilidad fue publicada el 24 de marzo de 2025. No se ha reportado explotación activa a la fecha. La severidad del CVSS de 9.6 indica un alto riesgo de explotación. Es recomendable monitorear la situación y aplicar la actualización lo antes posible. No se ha añadido a la lista KEV de CISA.
Websites utilizing the WP e-Commerce Style Email plugin, particularly those running older, unpatched versions (0.0.0 - 0.6.2), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp_e_commerce_style_email" /var/www/html/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-e-commerce-style-email• wordpress / composer / npm:
wp plugin list --status=active | grep wp-e-commerce-style-email• generic web: Check for unusual POST requests to plugin endpoints in access logs. • generic web: Monitor for unexpected file modifications in the plugin's directory.
disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP e-Commerce Style Email a la versión 0.6.3 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes CSRF sospechosas dirigidas a las funciones vulnerables del plugin. Además, revise los logs del servidor en busca de actividad inusual o intentos de inyección de código. Después de la actualización, verifique que el plugin funcione correctamente y que no haya errores inesperados.
Actualice el plugin WP e-Commerce Style Email a la última versión disponible para mitigar la vulnerabilidad de CSRF que podría permitir la ejecución remota de código. Consulte el repositorio del plugin en wordpress.org para obtener la versión actualizada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-30615 is a critical Remote Code Execution vulnerability in the WP e-Commerce Style Email plugin, allowing attackers to inject code via CSRF.
You are affected if you are using WP e-Commerce Style Email versions 0.0.0 through 0.6.2. Upgrade immediately.
Upgrade the plugin to version 0.6.3 or later. As a temporary workaround, restrict access to the plugin's administrative interface.
While no confirmed exploitation is public, the vulnerability's severity and ease of exploitation suggest a high risk of active exploitation.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.