Plataforma
wordpress
Componente
excel-like-price-change-for-woocommerce-and-wp-e-commerce-light
Corregido en
2.4.38
Se ha descubierto una vulnerabilidad de Inyección de Código (RCE) en el plugin Spreadsheet Price Changer para WooCommerce y WP E-commerce – Light, desarrollado por Holest Engineering. Esta falla permite a un atacante inyectar y ejecutar código malicioso de forma remota. La vulnerabilidad afecta a las versiones desde 0 hasta la 2.4.37, y se recomienda actualizar a la versión 2.4.38 para mitigar el riesgo.
La vulnerabilidad de Inyección de Código en Spreadsheet Price Changer para WooCommerce permite a un atacante con acceso a la tienda online ejecutar comandos arbitrarios en el servidor. Esto podría resultar en la toma de control completa del sitio web, robo de datos sensibles (información de clientes, datos de productos, credenciales de la base de datos), modificación del contenido del sitio, o incluso el uso del servidor como plataforma para lanzar ataques a otros sistemas. La ejecución remota de código es una de las vulnerabilidades más críticas, ya que permite a un atacante eludir las medidas de seguridad estándar y comprometer la integridad y confidencialidad de la información.
Esta vulnerabilidad ha sido publicada el 9 de junio de 2025. No se ha reportado explotación activa a la fecha, pero la naturaleza crítica de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes. Es importante aplicar la mitigación lo antes posible para evitar posibles ataques. La vulnerabilidad no se encuentra en el KEV de CISA.
Websites utilizing the Spreadsheet Price Changer for WooCommerce and WP E-commerce – Light plugin, particularly those running older, unpatched versions (0.0 – 2.4.37), are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'eval(base64_decode(' /var/www/html/wp-content/plugins/excel-like-price-change-for-woocommerce-and-wp-e-commerce-light• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'Spreadsheet Price Changer'• generic web: Check for unusual PHP process executions in web server access logs, particularly those originating from the plugin's directory.
disclosure
Estado del Exploit
EPSS
0.10% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Spreadsheet Price Changer para WooCommerce y WP E-commerce – Light a la versión 2.4.38 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Revise los logs del servidor en busca de patrones sospechosos de inyección de código.
Actualice el plugin Spreadsheet Price Changer for WooCommerce and WP E-commerce – Light a la versión 2.4.38 o superior para mitigar la vulnerabilidad de ejecución remota de código. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Desactive o elimine el plugin si no es esencial para su sitio web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48123 is a critical Remote Code Execution vulnerability affecting versions 0.0–2.4.37 of the Spreadsheet Price Changer for WooCommerce plugin, allowing attackers to execute arbitrary code.
If you are using Spreadsheet Price Changer for WooCommerce and WP E-commerce – Light versions 0.0 through 2.4.37, you are vulnerable to this RCE.
Upgrade the plugin to version 2.4.38 or later to resolve the vulnerability. If immediate upgrade is not possible, disable the plugin.
While no public exploits are currently known, the CRITICAL severity and RCE nature suggest a high probability of exploitation attempts.
Refer to the Holest Engineering website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.