Plateforme
wordpress
Composant
opal-woo-custom-product-variation
Corrigé dans
1.2.1
Une vulnérabilité d'accès arbitraire de fichier (Path Traversal) a été découverte dans le plugin Opal Woo Custom Product Variation. Cette faille permet à un attaquant de contourner les restrictions de répertoire et d'accéder à des fichiers sensibles sur le serveur. Elle affecte les versions du plugin comprises entre les versions non spécifiées et 1.2.0 incluses. Une version corrigée, 1.2.1, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur web. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des fichiers de code source contenant des secrets, ou même des fichiers contenant des données utilisateur. L'attaquant pourrait potentiellement obtenir un accès complet au système de fichiers, compromettant ainsi la confidentialité, l'intégrité et la disponibilité du site web. Bien que le plugin soit spécifique à WooCommerce, une compromission réussie pourrait permettre à un attaquant d'accéder à des informations relatives aux clients, aux commandes et aux produits, ce qui pourrait avoir des conséquences financières et de réputation importantes. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis à des attaquants d'extraire des données sensibles de serveurs web.
Cette vulnérabilité a été publiée le 23 mai 2025. Sa probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une interaction utilisateur pour déclencher la faille. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de PoC publics largement diffusés. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
WordPress websites using the Opal Woo Custom Product Variation plugin, particularly those running older versions (0.0 - 1.2.0), are at risk. Shared hosting environments are especially vulnerable, as a compromise of one website can potentially affect others on the same server. Sites with weak file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.38% (percentile 59%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour immédiatement le plugin Opal Woo Custom Product Variation vers la version 1.2.1 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le plugin pour réduire la surface d'attaque. En attendant la mise à jour, vous pouvez essayer de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes qui tentent d'accéder à des fichiers en dehors du répertoire web. Surveillez attentivement les journaux d'accès et d'erreurs du serveur web pour détecter toute activité suspecte, en particulier les tentatives d'accès à des fichiers non autorisés. Il n'existe pas de signature Sigma ou YARA spécifique connue pour cette vulnérabilité, mais une surveillance générale des tentatives d'accès à des fichiers sensibles est recommandée.
Actualice el plugin Opal Woo Custom Product Variation a la última versión disponible para mitigar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-47535 is a HIGH severity vulnerability allowing attackers to read files outside the intended directory in the Opal Woo Custom Product Variation plugin. It affects versions 0.0 through 1.2.0.
If you are using Opal Woo Custom Product Variation version 0.0 - 1.2.0 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the Opal Woo Custom Product Variation plugin to version 1.2.1 or later to resolve this vulnerability. Consider temporary restrictions or WAF rules if immediate upgrade is not possible.
There is currently no confirmed active exploitation of CVE-2025-47535, but the vulnerability's nature makes it a potential target.
Please refer to the official Opal Woo Custom Product Variation website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.