Plateforme
wordpress
Composant
extendons-eo-wooimport-export
Corrigé dans
2.0.7
La vulnérabilité CVE-2025-54029 est une faille d'accès arbitraire de fichiers (Path Traversal) présente dans le plugin WooCommerce csv import export. Cette faille permet à un attaquant de contourner les restrictions d'accès et de lire des fichiers sensibles sur le serveur. Elle affecte les versions du plugin de 0.0.0 à 2.0.6. Une version corrigée, 2.0.7, est désormais disponible.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers situés en dehors du répertoire prévu pour les importations CSV. Cela inclut des fichiers de configuration sensibles, des données de base de données, ou même des fichiers système. L'accès à ces fichiers peut permettre à l'attaquant de compromettre davantage le serveur, d'obtenir des informations confidentielles, ou de modifier des données. Bien que le plugin soit conçu pour faciliter l'importation de données, cette faille d'accès arbitraire de fichiers transforme cette fonctionnalité en un vecteur d'attaque potentiellement dangereux. La surface d'attaque est significative, car elle permet de contourner les mécanismes de sécurité standard.
La vulnérabilité CVE-2025-54029 a été rendue publique le 28 août 2025. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable par des attaquants. Il n'y a pas d'indication qu'elle soit présente dans le catalogue KEV de CISA. Des preuves de concept publiques pourraient émerger, augmentant le risque d'exploitation.
WordPress websites using the WooCommerce CSV Import Export plugin, particularly those running older versions (0.0.0–2.0.6), are at risk. Shared hosting environments where multiple WordPress installations share the same server are also at increased risk, as a compromise of one site could potentially expose files on other sites.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/extendons-eo-wooimport-export/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/extendons-eo-wooimport-export/../../../../etc/passwd' # Check for file accessdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin WooCommerce csv import export vers la version 2.0.7 ou supérieure. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les droits d'accès au répertoire d'importation CSV via les paramètres du serveur web (Apache, Nginx). Il est également recommandé de surveiller les journaux d'accès et d'erreurs du serveur web pour détecter toute tentative d'accès non autorisé aux fichiers. Si la mise à jour du plugin n'est pas immédiatement possible, une configuration plus restrictive des permissions sur les fichiers et répertoires concernés peut offrir une protection temporaire.
Actualice el plugin WooCommerce csv import export a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-54029 is a vulnerability in WooCommerce CSV Import Export allowing attackers to read files outside the intended directory. It affects versions 0.0.0–2.0.6 and has a CVSS score of 7.7 (HIGH).
You are affected if you are using WooCommerce CSV Import Export version 0.0.0 through 2.0.6. Check your plugin version and upgrade immediately if necessary.
Upgrade the WooCommerce CSV Import Export plugin to version 2.0.7 or later. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
As of 2025-08-28, there are no confirmed reports of active exploitation, but the vulnerability's potential impact warrants monitoring.
Refer to the extendons website and WordPress plugin repository for the latest updates and security advisories related to WooCommerce CSV Import Export.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.