WordPress Product XML Feed Manager for WooCommerce प्लगइन <= 2.9.3 - रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता
प्लेटफ़ॉर्म
wordpress
घटक
product-xml-feeds-for-woocommerce
में ठीक किया गया
2.9.4
CVE-2025-49887 describes a Remote Code Execution (RCE) vulnerability within the Product XML Feed Manager for WooCommerce plugin. This flaw allows attackers to achieve Remote Code Inclusion, granting them the ability to execute arbitrary code on the server. The vulnerability impacts versions from 0.0 up to and including 2.9.3, and a fix is available in version 2.9.4.
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
The impact of this vulnerability is severe. Successful exploitation allows an attacker to execute arbitrary code on the web server hosting the WooCommerce store. This could lead to complete system compromise, including data theft, modification, or deletion. An attacker could potentially gain administrative access to the WordPress site, install malicious plugins or themes, or use the server as a launchpad for further attacks. The Remote Code Inclusion aspect significantly elevates the risk, as it bypasses typical input validation mechanisms and allows direct execution of attacker-controlled code.
शोषण संदर्भअनुवाद हो रहा है…
This vulnerability has been publicly disclosed and assigned a CRITICAL CVSS score of 9.9. While no active exploitation campaigns have been confirmed at the time of writing, the ease of exploitation and the potential impact make it a high-priority target. The vulnerability is not currently listed on CISA KEV, but its severity warrants close monitoring. Public proof-of-concept exploits are likely to emerge, increasing the risk of widespread exploitation.
कौन जोखिम में हैअनुवाद हो रहा है…
WooCommerce store owners using the Product XML Feed Manager for WooCommerce plugin, particularly those running older versions (0.0 - 2.9.3), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
wp plugin list --status=inactive | grep product-xml-feeds-for-woocommerce• wordpress / composer / npm:
grep -r 'include($_REQUEST['file'])' /var/www/wordpress/wp-content/plugins/product-xml-feeds-for-woocommerce/*• wordpress / composer / npm:
wp plugin update product-xml-feeds-for-woocommerce --allहमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
- Availability
- उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 1Kज्ञात
- प्लगइन रेटिंग
- 4.8
- WordPress आवश्यक
- 4.4+
- संगत संस्करण तक
- 6.9.4
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The primary mitigation is to immediately upgrade the Product XML Feed Manager for WooCommerce plugin to version 2.9.4 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider temporarily disabling the plugin. As a secondary measure, implement strict file access controls on the server to limit the attacker's ability to upload and execute malicious code. Web Application Firewall (WAF) rules can be configured to block suspicious file uploads or attempts to include external code. Regularly review WordPress plugin configurations and ensure all plugins are from trusted sources.
कैसे ठीक करें
रिमोट कोड एग्जीक्यूशन भेद्यता को कम करने के लिए Product XML Feed Manager for WooCommerce प्लगइन को संस्करण 2.9.4 या उच्चतर में अपडेट करें। यह अपडेट कोड पीढ़ी के अनुचित नियंत्रण को संबोधित करता है जो रिमोट कोड इंक्लूजन की अनुमति देता है।
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2025-49887 — RCE in Product XML Feed Manager for WooCommerce?
CVE-2025-49887 is a critical Remote Code Execution vulnerability in the Product XML Feed Manager for WooCommerce plugin, allowing attackers to execute arbitrary code on your server.
Am I affected by CVE-2025-49887 in Product XML Feed Manager for WooCommerce?
You are affected if you are using Product XML Feed Manager for WooCommerce versions 0.0 through 2.9.3. Check your plugin version immediately.
How do I fix CVE-2025-49887 in Product XML Feed Manager for WooCommerce?
Upgrade the Product XML Feed Manager for WooCommerce plugin to version 2.9.4 or later to resolve this vulnerability. If upgrading is not possible, temporarily disable the plugin.
Is CVE-2025-49887 being actively exploited?
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a high-priority target and potential for exploitation is high.
Where can I find the official Product XML Feed Manager advisory for CVE-2025-49887?
Refer to the official Product XML Feed Manager website and the WooCommerce security advisory for the latest information and updates regarding CVE-2025-49887.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।