Plateforme
wordpress
Composant
wc-designer-pro
Corrigé dans
1.9.29
La vulnérabilité CVE-2025-10897 concerne une faille d'accès arbitraire de fichiers dans le thème WooCommerce Designer Pro pour WordPress. Cette faille permet à un attaquant non authentifié de lire des fichiers arbitraires sur le serveur, ce qui peut conduire à la divulgation d'informations sensibles, telles que les identifiants de la base de données. Elle affecte les versions du thème comprises entre 1.0.0 et 1.9.28 incluses. Une version corrigée, 1.9.31, est désormais disponible.
L'impact de cette vulnérabilité est significatif car elle permet à un attaquant non authentifié d'accéder à des fichiers sensibles sur le serveur WordPress. Dans le pire des cas, un attaquant pourrait lire le fichier wp-config.php, qui contient les informations d'identification de la base de données (nom d'utilisateur, mot de passe, nom de la base de données, hôte). La compromission de ces informations permettrait à l'attaquant de prendre le contrôle complet de la base de données WordPress, ce qui pourrait entraîner la perte de données, la modification du contenu du site web, ou l'utilisation du serveur pour des activités malveillantes. Le risque est exacerbé si le serveur web n'est pas correctement configuré et que les permissions sur les fichiers sont trop permissives. Cette vulnérabilité est similaire à d'autres failles d'accès arbitraire de fichiers qui ont été exploitées dans le passé pour compromettre des sites WordPress.
La vulnérabilité CVE-2025-10897 a été rendue publique le 31 octobre 2025. Il n'y a pas d'indication d'une inscription sur le KEV (Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, étant donné la simplicité de l'exploitation et la popularité de WooCommerce Designer Pro. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement après la publication de la vulnérabilité, ce qui pourrait augmenter le risque d'exploitation.
Websites using WooCommerce Designer Pro theme versions 1.0.0 through 1.9.28 are at direct risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit the vulnerability on multiple websites hosted on the same server. WordPress installations with default configurations and weak file permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "wp-content/plugins/woocommerce-designer-pro/includes/" /var/log/apache2/access.log• wordpress / composer / npm:
wp plugin list --status=inactive | grep woocommerce-designer-pro• wordpress / composer / npm:
wp plugin list | grep woocommerce-designer-prodisclosure
Statut de l'Exploit
EPSS
0.21% (percentile 44%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour WooCommerce Designer Pro vers la version 1.9.31 ou supérieure. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises pour atténuer le risque. Il est recommandé de restreindre les permissions sur le répertoire d'installation du thème pour empêcher l'écriture de fichiers. De plus, la configuration d'un pare-feu d'application web (WAF) peut aider à bloquer les tentatives d'exploitation de la vulnérabilité. Surveiller les journaux du serveur pour détecter des tentatives d'accès non autorisées aux fichiers sensibles est également crucial. Enfin, assurez-vous que le fichier wp-config.php est correctement protégé et n'est pas accessible via le web.
Mettre à jour vers la version 1.9.31, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-10897 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server running WooCommerce Designer Pro versions 1.0.0–1.9.28, potentially exposing sensitive data.
You are affected if your WordPress site uses WooCommerce Designer Pro versions 1.0.0 through 1.9.28. Check your plugin versions and upgrade immediately if vulnerable.
Upgrade WooCommerce Designer Pro to version 1.9.31 or later to resolve the vulnerability. Implement temporary workarounds like restricting file permissions if immediate upgrading is not possible.
While active exploitation is not confirmed, the vulnerability's simplicity and impact make it a likely target for attackers. Monitor your systems closely.
Refer to the WooCommerce Designer Pro website or plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.