Plataforma
wordpress
Componente
woocommerce-designer-pro
Corregido en
1.9.27
La vulnerabilidad CVE-2025-6439 afecta al plugin WooCommerce Designer Pro para WordPress, utilizado con el tema Pricom - Printing Company & Design Services. Esta falla de acceso arbitrario de archivos permite a atacantes no autenticados eliminar archivos en directorios arbitrarios del servidor, comprometiendo la integridad del sitio web. Las versiones afectadas son desde 1.0.0 hasta la 1.9.26, siendo la solución la actualización a la versión 1.9.27.
Un atacante que explote esta vulnerabilidad puede eliminar cualquier archivo en el servidor, lo que podría resultar en la pérdida de datos, la interrupción del servicio o incluso la ejecución remota de código. La falta de validación adecuada de las rutas de archivo en la función 'wcdpsavecanvasdesignajax' permite a un atacante manipular la solicitud para especificar un archivo arbitrario para su eliminación. Esto podría permitir la eliminación de archivos de configuración críticos, archivos del sistema operativo o incluso archivos de la base de datos, lo que provocaría una falla total del sitio web. La posibilidad de ejecución remota de código amplía significativamente el impacto, permitiendo al atacante tomar el control completo del servidor.
Esta vulnerabilidad ha sido publicada el 2025-10-11. No se ha confirmado la explotación activa en campañas conocidas, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. La naturaleza de la vulnerabilidad, que permite la eliminación de archivos arbitrarios, la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas afectados.
WordPress websites utilizing the Pricom theme and running versions of WooCommerce Designer Pro prior to 1.9.27 are at significant risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit this vulnerability to impact multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'wcdp_save_canvas_design_ajax' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "WooCommerce Designer Pro"• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wcdp_save_canvas_design_ajax&file=/etc/passwd | head -n 1• generic web: Check WordPress plugin directory for outdated versions of WooCommerce Designer Pro.
disclosure
Estado del Exploit
EPSS
1.30% (80% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WooCommerce Designer Pro a la versión 1.9.27, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al archivo 'wcdpsavecanvasdesignajax' a través de un firewall de aplicaciones web (WAF) o reglas de proxy. Además, se debe revisar y endurecer los permisos de los directorios del servidor para limitar el daño potencial en caso de una explotación exitosa. Implementar un sistema de monitoreo de archivos para detectar eliminaciones inesperadas también puede ayudar a identificar y responder a un ataque en curso.
Actualice el plugin WooCommerce Designer Pro a la versión 1.9.27 o superior para mitigar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización aborda la falta de validación adecuada de las rutas de archivo, previniendo que atacantes no autenticados eliminen archivos en el servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-6439 is a critical vulnerability in WooCommerce Designer Pro allowing unauthenticated attackers to delete files, potentially leading to remote code execution, data loss, or site unavailability.
You are affected if your WordPress site uses the Pricom theme and WooCommerce Designer Pro version 1.0.0 through 1.9.26.
Upgrade WooCommerce Designer Pro to version 1.9.27 or later. Consider temporary mitigation steps like restricting file write permissions and WAF rules if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a high probability of exploitation. Monitor security advisories for updates.
Refer to the WooCommerce Designer Pro website and WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.