Plateforme
wordpress
Composant
import-products-to-wc
Corrigé dans
1.2.8
La vulnérabilité CVE-2025-5817 est une faille de Server-Side Request Forgery (SSRF) affectant le plugin Amazon Products to WooCommerce pour WordPress. Cette faille, présente dans les versions 1.0.0 à 1.2.7 incluses, permet à un attaquant non authentifié d'effectuer des requêtes web arbitraires au nom de l'application. Une version corrigée (1.2.8) est désormais disponible et son installation est fortement recommandée.
Un attaquant exploitant cette vulnérabilité peut initier des requêtes vers des ressources internes qui ne sont normalement pas accessibles depuis l'extérieur du réseau. Cela peut inclure l'accès à des informations sensibles stockées dans des bases de données internes, la modification de configurations de serveurs, ou même l'exécution de commandes arbitraires sur des systèmes internes. L'impact potentiel est significatif, car l'attaquant peut utiliser le serveur WordPress comme pivot pour compromettre d'autres systèmes au sein du réseau. Cette vulnérabilité pourrait permettre de contourner des mesures de sécurité et d'accéder à des données critiques, compromettant ainsi la confidentialité et l'intégrité des informations.
La vulnérabilité CVE-2025-5817 a été rendue publique le 2 juillet 2025. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité SSRF la rend potentiellement dangereuse. Il n'y a pas d'entrée dans le KEV à ce jour. Des Proof of Concept (PoC) pourraient être publiés à l'avenir, augmentant le risque d'exploitation.
WordPress websites utilizing the Amazon Products to WooCommerce plugin, particularly those with internal services accessible via HTTP or HTTPS, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and configurations. Legacy WordPress installations running older versions of PHP or with outdated security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'wcta2w_get_urls()' /var/www/html/wp-content/plugins/amazon-products-to-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/amazon-products-to-woocommerce/ | grep Server• wordpress / composer / npm:
wp plugin list | grep 'amazon-products-to-woocommerce'• wordpress / composer / npm:
wp plugin status | grep 'amazon-products-to-woocommerce'disclosure
Statut de l'Exploit
EPSS
0.18% (percentile 40%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Amazon Products to WooCommerce vers la version 1.2.8 ou supérieure. En attendant la mise à jour, il est possible de configurer un Web Application Firewall (WAF) pour bloquer les requêtes suspectes vers des domaines internes. Il est également recommandé de mettre en place une validation stricte des URL utilisées par le plugin, afin de limiter les destinations possibles des requêtes. Vérifiez après la mise à jour que le plugin fonctionne correctement et que les requêtes sortantes sont correctement filtrées.
Mettez à jour le plugin Amazon Products to WooCommerce à la version 1.2.8 ou supérieure pour atténuer la vulnérabilité de Forgeage de requête côté serveur. Cette mise à jour corrige la manière dont les requêtes web sont gérées, empêchant les attaquants non authentifiés de réaliser des requêtes malveillantes depuis l'application.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-5817 est une vulnérabilité de type Server-Side Request Forgery (SSRF) affectant le plugin Amazon Products to WooCommerce pour WordPress, permettant à un attaquant de faire des requêtes web arbitraires.
Vous êtes affecté si vous utilisez le plugin Amazon Products to WooCommerce dans les versions 1.0.0 à 1.2.7 incluses. Mettez à jour vers la version 1.2.8 ou supérieure.
La solution est de mettre à jour le plugin Amazon Products to WooCommerce vers la version 1.2.8 ou supérieure. En attendant, configurez un WAF pour bloquer les requêtes suspectes.
À ce jour, aucune exploitation active n'est confirmée, mais la nature de la vulnérabilité SSRF la rend potentiellement dangereuse.
Consultez le site web du développeur du plugin ou le dépôt GitHub pour obtenir les informations officielles et les notes de version concernant la correction de cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.