Plataforma
wordpress
Componente
opal-woo-custom-product-variation
Corregido en
1.2.1
Se ha identificado una vulnerabilidad de Path Traversal (acceso a archivos arbitrarios) en el plugin Opal Woo Custom Product Variation para WordPress. Esta vulnerabilidad permite a un atacante acceder a archivos sensibles en el servidor, comprometiendo la confidencialidad de los datos. Afecta a las versiones desde 0.0 hasta la 1.2.0, y se ha publicado una actualización a la versión 1.2.1 para solucionar el problema.
La vulnerabilidad de Path Traversal en Opal Woo Custom Product Variation permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de base de datos, dependiendo de los permisos del servidor web. Un atacante podría extraer información confidencial, modificar archivos críticos para el funcionamiento del sitio web, o incluso ejecutar código malicioso en el servidor si tiene los permisos necesarios. El impacto potencial es alto, especialmente en entornos donde el plugin se utiliza para almacenar información sensible o procesar datos de clientes.
Esta vulnerabilidad ha sido publicada el 2025-05-23. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. Sin embargo, la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a ser explotada, y se recomienda aplicar las mitigaciones lo antes posible.
WordPress websites using the Opal Woo Custom Product Variation plugin, particularly those running older versions (0.0 - 1.2.0), are at risk. Shared hosting environments are especially vulnerable, as a compromise of one website can potentially affect others on the same server. Sites with weak file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.38% (59% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Opal Woo Custom Product Variation a la versión 1.2.1 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio raíz del sitio web a través de un firewall de aplicaciones web (WAF) o un proxy inverso. Además, revise los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, verifique que la vulnerabilidad ha sido corregida intentando acceder a un archivo fuera del directorio esperado y confirmando que la solicitud es rechazada.
Actualice el plugin Opal Woo Custom Product Variation a la última versión disponible para mitigar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-47535 is a HIGH severity vulnerability allowing attackers to read files outside the intended directory in the Opal Woo Custom Product Variation plugin. It affects versions 0.0 through 1.2.0.
If you are using Opal Woo Custom Product Variation version 0.0 - 1.2.0 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the Opal Woo Custom Product Variation plugin to version 1.2.1 or later to resolve this vulnerability. Consider temporary restrictions or WAF rules if immediate upgrade is not possible.
There is currently no confirmed active exploitation of CVE-2025-47535, but the vulnerability's nature makes it a potential target.
Please refer to the official Opal Woo Custom Product Variation website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.