Plateforme
wordpress
Composant
wp-e-commerce-style-email
Corrigé dans
0.6.3
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WP e-Commerce Style Email. Cette faille permet une injection de code à distance, potentiellement compromettant l'intégrité et la confidentialité des données. Elle affecte les versions du plugin comprises entre 0.0.0 et 0.6.2. Une mise à jour vers la version 0.6.3 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant d'effectuer des actions non autorisées sur un site WordPress utilisant WP e-Commerce Style Email, en se faisant passer pour un utilisateur authentifié. L'attaquant peut injecter du code malveillant, potentiellement compromettant l'ensemble du site web et les données sensibles qu'il contient. L'impact peut aller de la modification de contenu à la prise de contrôle complète du serveur, en fonction des privilèges de l'utilisateur concerné et de la configuration du site. Une attaque réussie pourrait également permettre le vol d'informations personnelles des utilisateurs ou la diffusion de logiciels malveillants.
Cette vulnérabilité a été rendue publique le 24 mars 2025. Il n'y a pas d'indications d'exploitation active à ce jour, mais la nature CSRF de la vulnérabilité la rend potentiellement exploitable. Aucun Proof of Concept (PoC) public n'a été identifié à ce jour. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Websites utilizing the WP e-Commerce Style Email plugin, particularly those running older, unpatched versions (0.0.0 - 0.6.2), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp_e_commerce_style_email" /var/www/html/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-e-commerce-style-email• wordpress / composer / npm:
wp plugin list --status=active | grep wp-e-commerce-style-email• generic web: Check for unusual POST requests to plugin endpoints in access logs. • generic web: Monitor for unexpected file modifications in the plugin's directory.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin WP e-Commerce Style Email vers la version 0.6.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le plugin. En attendant, des règles WAF (Web Application Firewall) peuvent être configurées pour bloquer les requêtes CSRF suspectes. Vérifiez également les permissions des utilisateurs et assurez-vous que les actions critiques nécessitent une authentification forte. Après la mise à jour, vérifiez l'intégrité du plugin en comparant son hachage SHA256 avec celui fourni par le développeur.
Mettez à jour le plugin WP e-Commerce Style Email vers la dernière version disponible pour atténuer la vulnérabilité CSRF qui pourrait permettre l'exécution de code à distance. Consultez le dépôt du plugin sur wordpress.org pour obtenir la version mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-30615 is a critical Remote Code Execution vulnerability in the WP e-Commerce Style Email plugin, allowing attackers to inject code via CSRF.
You are affected if you are using WP e-Commerce Style Email versions 0.0.0 through 0.6.2. Upgrade immediately.
Upgrade the plugin to version 0.6.3 or later. As a temporary workaround, restrict access to the plugin's administrative interface.
While no confirmed exploitation is public, the vulnerability's severity and ease of exploitation suggest a high risk of active exploitation.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.