Plateforme
wordpress
Composant
storecontrl-wp-connection
Corrigé dans
4.1.4
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le plugin StoreContrl Woocommerce d'Arture B.V. Cette faille permet à un attaquant d'accéder à des fichiers sensibles sur le serveur. Elle affecte les versions du plugin allant de 0.0.0 à 4.1.3 incluses. Une version corrigée (4.1.4) est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur web hébergeant le plugin StoreContrl Woocommerce. Cela peut inclure des fichiers de configuration contenant des informations sensibles telles que des mots de passe de base de données, des clés API ou des informations d'identification d'autres services. L'attaquant pourrait également accéder à des fichiers contenant des données clients, des informations financières ou d'autres données confidentielles. En fonction des fichiers accessibles, l'attaquant pourrait compromettre l'ensemble du serveur et accéder à d'autres applications ou bases de données hébergées sur la même machine. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis des violations de données importantes.
Cette vulnérabilité a été publiée le 17 avril 2025. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, car il s'agit d'une vulnérabilité de Path Traversal relativement simple à exploiter. Aucun PoC public n'a été identifié à ce jour, mais la nature de la vulnérabilité suggère qu'un tel PoC pourrait être développé rapidement.
WordPress websites using the StoreContrl Woocommerce plugin, particularly those running older versions (0.0.0–4.1.3), are at risk. Shared hosting environments where WordPress installations have limited access controls are especially vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other websites on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/storecontrl-wp-connection/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/storecontrl-wp-connection/../../../../etc/passwd | head -n 1disclosure
Statut de l'Exploit
EPSS
0.50% (percentile 66%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin StoreContrl Woocommerce vers la version 4.1.4 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre l'accès au plugin via un pare-feu d'application web (WAF) en bloquant les requêtes contenant des séquences de caractères de contournement de chemin (par exemple, '..'). Vérifiez également les fichiers journaux du serveur pour détecter toute activité suspecte, comme des tentatives d'accès à des fichiers non autorisés. Après la mise à jour, vérifiez l'intégrité du plugin en recherchant des fichiers modifiés ou suspects.
Actualice el plugin StoreContrl Woocommerce a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-39568 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server via path traversal in the StoreContrl Woocommerce plugin.
You are affected if you are using StoreContrl Woocommerce versions 0.0.0 through 4.1.3. Upgrade to 4.1.4 or later to resolve the issue.
Upgrade StoreContrl Woocommerce to version 4.1.4 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
While no active exploitation has been publicly confirmed, the ease of exploitation makes it a likely target. Monitor your systems for suspicious activity.
Refer to the StoreContrl website and WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.