Plataforma
wordpress
Componente
oxygen-mydata
Corregido en
1.0.65
Se ha descubierto una vulnerabilidad de Path Traversal (Acceso Arbitrario a Archivos) en el plugin Oxygen MyData para WooCommerce. Esta falla permite a un atacante, bajo ciertas condiciones, acceder a archivos arbitrarios en el servidor. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.0.64 inclusive. Una actualización a la versión 1.0.64 corrige esta vulnerabilidad.
La vulnerabilidad de Path Traversal permite a un atacante leer archivos arbitrarios en el servidor donde está instalado el plugin Oxygen MyData para WooCommerce. Esto podría incluir archivos de configuración, claves API, contraseñas u otros datos sensibles. Un atacante podría utilizar esta información para comprometer aún más el sitio web, obtener acceso a la base de datos o incluso ejecutar código malicioso. La severidad de esta vulnerabilidad es alta debido al potencial de acceso no autorizado a información confidencial y la posibilidad de escalada de privilegios.
Esta vulnerabilidad fue publicada el 11 de abril de 2025. No se ha reportado explotación activa en la naturaleza, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa. La vulnerabilidad no se encuentra en el KEV catalogado por CISA.
Websites utilizing Oxygen MyData for WooCommerce, particularly those running older, unpatched versions (0.0.0–1.0.64), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over plugin updates and server configurations. Sites with weak file permission configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/oxygen-mydata-for-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/oxygen-mydata-for-woocommerce/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep oxygen-mydatadisclosure
Estado del Exploit
EPSS
0.38% (59% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Oxygen MyData para WooCommerce a la versión 1.0.64 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una WAF (Web Application Firewall) para bloquear solicitudes que contengan caracteres de path traversal (../). También se recomienda revisar los permisos de archivos y directorios en el servidor para asegurar que solo los usuarios autorizados tengan acceso a ellos.
Actualice el plugin Oxygen MyData for WooCommerce a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo la eliminación arbitraria de archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-32631 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in Oxygen MyData for WooCommerce due to improper path validation.
You are affected if you are using Oxygen MyData for WooCommerce versions 0.0.0 through 1.0.64. Upgrade to 1.0.64 or later to resolve the issue.
Upgrade Oxygen MyData for WooCommerce to version 1.0.64 or later. Consider WAF rules to block path traversal attempts as an interim measure.
As of now, there are no confirmed reports of active exploitation, but the HIGH severity score warrants immediate attention and patching.
Refer to the official Oxygen Suite website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-32631.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.