Plataforma
wordpress
Componente
wc-purchase-orders
Corregido en
1.0.3
El plugin Purchase Orders for WooCommerce de WordPress presenta una vulnerabilidad de acceso a archivos arbitrarios debido a una validación insuficiente de la ruta del archivo en la función delete_file(). Esta falla permite a atacantes autenticados, con privilegios de Suscriptor o superiores, borrar archivos en el servidor. La eliminación de archivos críticos, como wp-config.php, puede resultar en la ejecución remota de código (RCE).
La vulnerabilidad de acceso a archivos arbitrarios en Purchase Orders for WooCommerce representa un riesgo significativo para los sitios web de WordPress que utilizan este plugin. Un atacante autenticado puede explotar esta falla para borrar archivos esenciales del sistema, comprometiendo la integridad y la confidencialidad de los datos. La capacidad de eliminar wp-config.php, por ejemplo, permitiría al atacante obtener acceso completo al sitio web, incluyendo la base de datos y la capacidad de ejecutar código malicioso. La falta de una validación adecuada de la ruta del archivo facilita la manipulación de la función delete_file() para apuntar a ubicaciones arbitrarias en el sistema de archivos, ampliando el alcance del ataque. Esto se asemeja a otras vulnerabilidades de acceso a archivos que han permitido la toma de control completa de servidores web.
El CVE-2025-5391 fue publicado el 12 de agosto de 2025. Actualmente no se dispone de información sobre su inclusión en el KEV de CISA ni sobre la existencia de campañas de explotación activas. Sin embargo, la naturaleza de la vulnerabilidad (acceso a archivos arbitrarios) la convierte en un objetivo atractivo para los atacantes, especialmente considerando la amplia adopción de WordPress y el plugin Purchase Orders for WooCommerce. Se recomienda monitorear de cerca las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
WordPress websites utilizing the Purchase Orders for WooCommerce plugin, particularly those running versions 1.0.0 through 1.0.2, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak password policies or compromised user accounts are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "delete_file\(" /var/www/html/wp-content/plugins/purchase-orders-for-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/purchase-orders-for-woocommerce/delete.php?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'purchase-orders-for-woocommerce'disclosure
Estado del Exploit
EPSS
1.42% (80% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-5391 es actualizar el plugin Purchase Orders for WooCommerce a la versión corregida, una vez que esté disponible. Si la actualización no es posible de inmediato, se recomienda restringir el acceso a la función delete_file() mediante reglas de firewall de aplicaciones web (WAF) o proxies inversos, bloqueando solicitudes sospechosas. Además, se debe revisar cuidadosamente los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso de escritura. Monitorear los registros del servidor en busca de intentos de acceso o eliminación de archivos inusuales también puede ayudar a detectar y prevenir ataques. Una vez aplicada la actualización, verificar la integridad del sistema de archivos y la configuración del plugin.
Actualice el plugin Purchase Orders for WooCommerce a la última versión disponible. Esta actualización aborda la vulnerabilidad de eliminación arbitraria de archivos al mejorar la validación de las rutas de los archivos, previniendo que atacantes con privilegios de suscriptor puedan eliminar archivos sensibles en el servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-5391 is a vulnerability in the Purchase Orders for WooCommerce plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using Purchase Orders for WooCommerce versions 1.0.0 through 1.0.2. Upgrade as soon as a patch is available.
Upgrade to a patched version of the plugin. Until a patch is released, implement temporary workarounds like restricting file upload permissions and using a WAF.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests a high probability of exploitation.
Check the Purchase Orders for WooCommerce plugin's official website and WordPress plugin repository for updates and advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.