Plataforma
wordpress
Componente
counter-visitor-for-woocommerce
Corregido en
1.3.7
La vulnerabilidad CVE-2025-7359 es un fallo de Acceso Arbitrario de Archivos presente en el plugin Counter Live Visitors for WooCommerce para WordPress. Esta falla permite a atacantes no autenticados borrar archivos en el servidor, lo que puede resultar en pérdida de datos o denegación de servicio. Afecta a las versiones desde 1.0.0 hasta la 1.3.6, y se recomienda actualizar a una versión corregida o aplicar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad para eliminar archivos arbitrarios en el servidor WordPress. La falta de validación adecuada de la ruta del archivo en la función wcvisitorgetblock permite a un atacante especificar una ruta que conduce a la eliminación de archivos críticos del sistema o de la aplicación. Esto puede resultar en la pérdida de datos sensibles, la interrupción del servicio web o incluso el compromiso total del servidor. La capacidad de borrar archivos arbitrarios amplía significativamente el potencial de daño, ya que un atacante podría eliminar archivos de configuración, archivos de base de datos o incluso archivos del sistema operativo.
La vulnerabilidad CVE-2025-7359 fue publicada el 16 de julio de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (acceso arbitrario de archivos) la convierte en un objetivo atractivo para atacantes. La falta de autenticación necesaria para explotar la vulnerabilidad aumenta su riesgo. No se ha añadido a la lista KEV de CISA ni se ha determinado un puntaje EPSS.
Websites using the Counter live visitors for WooCommerce plugin, particularly those running older, unpatched versions (1.0.0–1.3.6), are at risk. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit this vulnerability to impact multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r "wcvisitor_get_block" /var/www/html/wp-content/plugins/counter-live-visitors-for-woocommerce/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/counter-live-visitors-for-woocommerce/wcvisitor_get_block?file=../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Estado del Exploit
EPSS
0.71% (72% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Counter Live Visitors for WooCommerce a una versión corregida que solucione la vulnerabilidad de acceso arbitrario de archivos. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restrinja los permisos de escritura en el directorio donde se encuentra el plugin. Implemente reglas en el firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder o manipular archivos fuera del directorio del plugin. Monitoree los registros del servidor en busca de actividad sospechosa, como intentos de acceso a archivos no autorizados. Después de la actualización, verifique que la función wcvisitorgetblock haya sido modificada para incluir una validación de ruta robusta.
Actualice el plugin Contador de visitantes en vivo para WooCommerce a una versión corregida. La vulnerabilidad ha sido solucionada en versiones posteriores a la 1.3.6. Verifique la página del plugin en WordPress.org para obtener la última versión disponible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-7359 is a vulnerability in the Counter live visitors for WooCommerce plugin allowing unauthenticated attackers to delete files on a WordPress server due to flawed file path validation.
You are affected if you are using the Counter live visitors for WooCommerce plugin versions 1.0.0 through 1.3.6. Upgrade immediately to mitigate the risk.
Upgrade the Counter live visitors for WooCommerce plugin to a patched version. Until a patch is available, restrict file permissions and monitor server logs.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests it is likely to be exploited soon. Monitor your systems closely.
Refer to the WooCommerce plugin repository and WordPress security announcements for the official advisory and patch information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.