CRITICALCVE-2025-49887CVSS 9.9

WordPress Product XML Feed Manager for WooCommerce Plugin <= 2.9.3 - Vulnerabilidad de Ejecución Remota de Código (RCE)

Q: What is CVE-2025-49887 — RCE in Product XML Feed Manager for WooCommerce?

CVE-2025-49887 is a critical Remote Code Execution vulnerability in the Product XML Feed Manager for WooCommerce plugin, allowing attackers to execute arbitrary code on your server.

Q: Am I affected by CVE-2025-49887 in Product XML Feed Manager for WooCommerce?

You are affected if you are using Product XML Feed Manager for WooCommerce versions 0.0 through 2.9.3. Check your plugin version immediately.

Q: How do I fix CVE-2025-49887 in Product XML Feed Manager for WooCommerce?

Upgrade the Product XML Feed Manager for WooCommerce plugin to version 2.9.4 or later to resolve this vulnerability. If upgrading is not possible, temporarily disable the plugin.

Q: Is CVE-2025-49887 being actively exploited?

While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a high-priority target and potential for exploitation is high.

Q: Where can I find the official Product XML Feed Manager advisory for CVE-2025-49887?

Refer to the official Product XML Feed Manager website and the WooCommerce security advisory for the latest information and updates regarding CVE-2025-49887.

Plataforma

wordpress

Componente

product-xml-feeds-for-woocommerce

Corregido en

2.9.4

AI Confidence: highNVDEPSS 0.1%Revisado: may 2026

Ver en NVD

Guardar

La vulnerabilidad CVE-2025-49887 es una falla de Inyección de Código (Code Injection) que conduce a la Ejecución Remota de Código (RCE) en el plugin Product XML Feed Manager para WooCommerce. Esta falla permite a un atacante incluir código de forma remota, comprometiendo la seguridad del sitio WordPress. Afecta a las versiones desde la n/a hasta la 2.9.3, y se ha solucionado en la versión 2.9.4.

WordPress

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis

Impacto y Escenarios de Ataque

Un atacante puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor web donde está instalado el plugin Product XML Feed Manager para WooCommerce. Esto podría resultar en la toma de control completa del sitio web, robo de datos sensibles (como información de clientes, datos de productos y credenciales de administración), modificación del contenido del sitio, o incluso el uso del servidor para lanzar ataques contra otros sistemas. La inclusión remota de código (RCI) es una técnica de ataque grave que permite a los atacantes ejecutar código arbitrario con los privilegios del proceso web, lo que amplía significativamente el radio de explosión. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto potencialmente devastador.

Contexto de Explotación

La vulnerabilidad CVE-2025-49887 fue publicada el 14 de agosto de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta severidad (CVSS 9.9) y la naturaleza de la falla (RCE) sugieren que es un objetivo atractivo para los atacantes. Se recomienda monitorear de cerca las fuentes de inteligencia de amenazas en busca de posibles exploits o campañas de ataque dirigidas a esta vulnerabilidad. La vulnerabilidad no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción.

Quién Está en Riesgotraduciendo…

WooCommerce store owners using the Product XML Feed Manager for WooCommerce plugin, particularly those running older versions (0.0 - 2.9.3), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security.

Pasos de Deteccióntraduciendo…

• wordpress / composer / npm:

wp plugin list --status=inactive | grep product-xml-feeds-for-woocommerce

• wordpress / composer / npm:

grep -r 'include($_REQUEST['file'])' /var/www/wordpress/wp-content/plugins/product-xml-feeds-for-woocommerce/*

• wordpress / composer / npm:

wp plugin update product-xml-feeds-for-woocommerce --all

Cronología del Ataque

2025-08-14Disclosure
disclosure

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido

CISA KEVNO

Exposición en InternetAlta

EPSS

0.06% (18% percentil)

CISA SSVC

Explotaciónnone

Automatizableno

Impacto Técnicototal

Vector CVSS

¿Qué significan estas métricas?

Attack Vector: Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity: Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required: Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction: Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope: Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality: Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity: Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability: Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componenteproduct-xml-feeds-for-woocommerce

ProveedorWPFactory

Rango afectadoCorregido en

0 – 2.9.32.9.4

Información del paquete

Instalaciones activas: 1KConocido
Valoración del plugin: 4.8
Requiere WordPress: 4.4+
Compatible hasta: 6.9.4

Sitio web

Clasificación de Debilidad (CWE)

CWE-94

Cronología

Reservado2025-06-11
Publicada2025-08-14
Modificada2026-04-28
EPSS actualizado2026-03-23

Mitigación y Workarounds

La mitigación principal para CVE-2025-49887 es actualizar el plugin Product XML Feed Manager para WooCommerce a la versión 2.9.4 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad completa del sitio antes de actualizar y probar la actualización en un entorno de pruebas. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan patrones de inyección de código. Además, revise los registros del servidor en busca de actividad sospechosa relacionada con la inclusión de archivos remotos.

Cómo corregirlo

Actualice el plugin Product XML Feed Manager for WooCommerce a la versión 2.9.4 o superior para mitigar la vulnerabilidad de ejecución remota de código. Esta actualización aborda el control inadecuado de la generación de código que permite la inclusión remota de código.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2025-49887 — RCE in Product XML Feed Manager for WooCommerce?

CVE-2025-49887 is a critical Remote Code Execution vulnerability in the Product XML Feed Manager for WooCommerce plugin, allowing attackers to execute arbitrary code on your server.

Am I affected by CVE-2025-49887 in Product XML Feed Manager for WooCommerce?

You are affected if you are using Product XML Feed Manager for WooCommerce versions 0.0 through 2.9.3. Check your plugin version immediately.

How do I fix CVE-2025-49887 in Product XML Feed Manager for WooCommerce?

Upgrade the Product XML Feed Manager for WooCommerce plugin to version 2.9.4 or later to resolve this vulnerability. If upgrading is not possible, temporarily disable the plugin.

Is CVE-2025-49887 being actively exploited?

While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a high-priority target and potential for exploitation is high.

Where can I find the official Product XML Feed Manager advisory for CVE-2025-49887?

Refer to the official Product XML Feed Manager website and the WooCommerce security advisory for the latest information and updates regarding CVE-2025-49887.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis Buscar CVEs