Plateforme
wordpress
Composant
counter-visitor-for-woocommerce
Corrigé dans
1.3.7
Le plugin Counter live visitors for WooCommerce pour WordPress présente une vulnérabilité d'accès arbitraire aux fichiers. Cette faille, due à une validation insuffisante du chemin d'accès aux fichiers dans la fonction wcvisitorgetblock, permet à des attaquants non authentifiés de supprimer des fichiers arbitraires sur le serveur. Les versions concernées sont les versions 1.0.0 à 1.3.6 incluses. Une correction est disponible et son application est fortement recommandée.
Cette vulnérabilité permet à un attaquant non authentifié d'exploiter une faille de validation du chemin d'accès aux fichiers pour supprimer des fichiers arbitraires sur le serveur WordPress. L'attaquant n'a pas besoin d'informations d'identification pour exécuter cette action. La suppression de fichiers critiques peut entraîner une perte de données significative, une corruption de l'installation WordPress, ou même un déni de service complet du site web. Le fait que la vulnérabilité permette la suppression de tous les fichiers dans un répertoire ciblé, plutôt que d'un seul fichier, amplifie le potentiel de destruction et rend l'impact plus grave. Une exploitation réussie peut compromettre l'intégrité et la disponibilité du site web.
Cette vulnérabilité a été publiée le 16 juillet 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature relativement simple de la vulnérabilité et de sa présence dans un plugin WordPress largement utilisé. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter toute nouvelle information concernant l'exploitation.
Websites using the Counter live visitors for WooCommerce plugin, particularly those running older, unpatched versions (1.0.0–1.3.6), are at risk. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit this vulnerability to impact multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r "wcvisitor_get_block" /var/www/html/wp-content/plugins/counter-live-visitors-for-woocommerce/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/counter-live-visitors-for-woocommerce/wcvisitor_get_block?file=../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Statut de l'Exploit
EPSS
0.71% (percentile 72%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Counter live visitors for WooCommerce vers la dernière version corrigée. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en place. Il est recommandé de restreindre les permissions de l'utilisateur WordPress utilisé par le plugin. En outre, surveillez attentivement les journaux du serveur pour détecter toute activité suspecte, notamment des tentatives de suppression de fichiers. Des règles WAF (Web Application Firewall) peuvent être configurées pour bloquer les requêtes suspectes ciblant la fonction wcvisitorgetblock. Après la mise à jour, vérifiez l'intégrité des fichiers du serveur et assurez-vous qu'aucun fichier n’a été compromis.
Actualice el plugin Counter live visitors for WooCommerce a una versión corregida. La vulnerabilidad ha sido solucionada en versiones posteriores a la 1.3.6. Verifique la página del plugin en WordPress.org para obtener la última versión disponible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-7359 is a vulnerability in the Counter live visitors for WooCommerce plugin allowing unauthenticated attackers to delete files on a WordPress server due to flawed file path validation.
You are affected if you are using the Counter live visitors for WooCommerce plugin versions 1.0.0 through 1.3.6. Upgrade immediately to mitigate the risk.
Upgrade the Counter live visitors for WooCommerce plugin to a patched version. Until a patch is available, restrict file permissions and monitor server logs.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests it is likely to be exploited soon. Monitor your systems closely.
Refer to the WooCommerce plugin repository and WordPress security announcements for the official advisory and patch information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.