Plataforma
wordpress
Componente
extendons-eo-wooimport-export
Corregido en
2.0.7
Se ha identificado una vulnerabilidad de Acceso Arbitrario de Archivos (Path Traversal) en el plugin WooCommerce csv import export. Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad e integridad de los datos. Afecta a las versiones desde 0.0.0 hasta la 2.0.6, y se ha solucionado en la versión 2.0.7.
La vulnerabilidad de Path Traversal en WooCommerce csv import export permite a un atacante, mediante la manipulación de la ruta de archivo, acceder a archivos que normalmente no estarían disponibles. Esto podría incluir archivos de configuración sensibles, código fuente, o incluso archivos del sistema operativo. Un atacante podría leer información confidencial, modificar archivos para ejecutar código malicioso, o incluso obtener control sobre el servidor. La severidad de este impacto se agrava si el servidor web está configurado para servir archivos directamente, lo que facilitaría el acceso a los archivos comprometidos. La explotación exitosa de esta vulnerabilidad podría resultar en una brecha de datos significativa y la pérdida de control del servidor.
Esta vulnerabilidad ha sido publicada el 2025-08-28. No se ha añadido a KEV al momento de la redacción. No se conocen públicamente Proof of Concepts (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas afectados.
WordPress websites using the WooCommerce CSV Import Export plugin, particularly those running older versions (0.0.0–2.0.6), are at risk. Shared hosting environments where multiple WordPress installations share the same server are also at increased risk, as a compromise of one site could potentially expose files on other sites.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/extendons-eo-wooimport-export/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/extendons-eo-wooimport-export/../../../../etc/passwd' # Check for file accessdisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin WooCommerce csv import export a la versión 2.0.7 o superior, donde se ha corregido el problema. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles a través de permisos de archivo y directorios. Además, se puede considerar la implementación de un Web Application Firewall (WAF) con reglas que bloqueen intentos de Path Traversal. Monitorear los logs del servidor en busca de patrones sospechosos de manipulación de rutas de archivo también puede ayudar a detectar y prevenir ataques.
Actualice el plugin WooCommerce csv import export a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54029 is a vulnerability in WooCommerce CSV Import Export allowing attackers to read files outside the intended directory. It affects versions 0.0.0–2.0.6 and has a CVSS score of 7.7 (HIGH).
You are affected if you are using WooCommerce CSV Import Export version 0.0.0 through 2.0.6. Check your plugin version and upgrade immediately if necessary.
Upgrade the WooCommerce CSV Import Export plugin to version 2.0.7 or later. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
As of 2025-08-28, there are no confirmed reports of active exploitation, but the vulnerability's potential impact warrants monitoring.
Refer to the extendons website and WordPress plugin repository for the latest updates and security advisories related to WooCommerce CSV Import Export.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.