Plateforme
wordpress
Composant
oxygen-mydata
Corrigé dans
1.0.65
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans le plugin Oxygen MyData pour WooCommerce. Cette faille permet à un attaquant d'accéder à des fichiers arbitraires sur le serveur, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions du plugin comprises entre 0.0.0 et 1.0.64. Une version corrigée, 1.0.64, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de lire des fichiers sensibles situés en dehors du répertoire web prévu. Cela peut inclure des fichiers de configuration contenant des informations d'identification, des fichiers de code source contenant des secrets, ou des fichiers de données contenant des informations confidentielles sur les clients. Un attaquant pourrait également utiliser cette vulnérabilité pour exécuter du code arbitraire sur le serveur si des fichiers exécutables sont accessibles. Le risque est significatif, car la vulnérabilité est facilement exploitable et peut avoir un impact important sur la sécurité du site WordPress.
Cette vulnérabilité a été publiée le 11 avril 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation rend probable son utilisation future. Aucun PoC public n'a été identifié à ce jour. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Websites utilizing Oxygen MyData for WooCommerce, particularly those running older, unpatched versions (0.0.0–1.0.64), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over plugin updates and server configurations. Sites with weak file permission configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/oxygen-mydata-for-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/oxygen-mydata-for-woocommerce/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep oxygen-mydatadisclosure
Statut de l'Exploit
EPSS
0.38% (percentile 59%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Oxygen MyData pour WooCommerce vers la version 1.0.64 ou supérieure. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les autorisations d'accès aux fichiers et répertoires du serveur. Vérifiez également les règles de votre pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin (../). Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et assurez-vous qu'il n'y a pas de fichiers suspects.
Actualice el plugin Oxygen MyData for WooCommerce a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo la eliminación arbitraria de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-32631 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in Oxygen MyData for WooCommerce due to improper path validation.
You are affected if you are using Oxygen MyData for WooCommerce versions 0.0.0 through 1.0.64. Upgrade to 1.0.64 or later to resolve the issue.
Upgrade Oxygen MyData for WooCommerce to version 1.0.64 or later. Consider WAF rules to block path traversal attempts as an interim measure.
As of now, there are no confirmed reports of active exploitation, but the HIGH severity score warrants immediate attention and patching.
Refer to the official Oxygen Suite website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-32631.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.