WordPress WP e-Commerce Style Email plugin <= 0.6.2 - CSRF naar Remote Code Execution kwetsbaarheid
Platform
wordpress
Component
wp-e-commerce-style-email
Opgelost in
0.6.3
CVE-2025-30615 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WordPress plugin WP e-Commerce Style Email. Deze kwetsbaarheid stelt een aanvaller in staat om code injectie uit te voeren, wat kan leiden tot Remote Code Execution. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 0.6.2. Een fix is beschikbaar in versie 0.6.3.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op de webserver waarop de WordPress site draait. Dit kan leiden tot volledige controle over de site, inclusief het stelen van gevoelige data, het wijzigen van content, en het installeren van malware. Aangezien het om een CSRF-lek gaat, kan een aanvaller deze exploitatie uitvoeren zonder dat de gebruiker er direct van op de hoogte is, zolang de gebruiker is ingelogd op de WordPress site. De impact is significant, aangezien een aanvaller de hele WordPress omgeving kan compromitteren.
Uitbuitingscontext
Deze kwetsbaarheid is openbaar bekend en de publicatie datum is 2025-03-24. Er is geen informatie beschikbaar over actieve exploitatiecampagnes of toevoeging aan de CISA KEV catalogus op dit moment. Het is aannemelijk dat er in de toekomst proof-of-concept exploits beschikbaar komen, gezien de kritieke ernst en de openbare bekendmaking.
Wie Loopt Risicowordt vertaald…
Websites utilizing the WP e-Commerce Style Email plugin, particularly those running older, unpatched versions (0.0.0 - 0.6.2), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
Detectiestappenwordt vertaald…
• wordpress / composer / npm:
grep -r "wp_e_commerce_style_email" /var/www/html/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-e-commerce-style-email• wordpress / composer / npm:
wp plugin list --status=active | grep wp-e-commerce-style-email• generic web: Check for unusual POST requests to plugin endpoints in access logs. • generic web: Monitor for unexpected file modifications in the plugin's directory.
Aanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
- Scope
- Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
- Availability
- Hoog — volledige crash of uitputting van resources. Totale denial of service.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie is het updaten van de WP e-Commerce Style Email plugin naar versie 0.6.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) met CSRF-bescherming. Controleer de WordPress site op verdachte code injecties en ongebruikelijke bestandsmodificaties. Implementeer strikte toegangscontroles en authenticatieprocedures om ongeautoriseerde toegang te voorkomen. Na de upgrade, verifieer de fix door te proberen een CSRF-aanval uit te voeren en te controleren of de code injectie wordt geblokkeerd.
Hoe te verhelpen
Werk de WP e-Commerce Style Email plugin bij naar de laatste beschikbare versie om de CSRF kwetsbaarheid te mitigeren die de uitvoering van code op afstand mogelijk kan maken. Raadpleeg de plugin repository op wordpress.org voor de bijgewerkte versie.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragenwordt vertaald…
What is CVE-2025-30615 — RCE in WP e-Commerce Style Email?
CVE-2025-30615 is a critical Remote Code Execution vulnerability in the WP e-Commerce Style Email plugin, allowing attackers to inject code via CSRF.
Am I affected by CVE-2025-30615 in WP e-Commerce Style Email?
You are affected if you are using WP e-Commerce Style Email versions 0.0.0 through 0.6.2. Upgrade immediately.
How do I fix CVE-2025-30615 in WP e-Commerce Style Email?
Upgrade the plugin to version 0.6.3 or later. As a temporary workaround, restrict access to the plugin's administrative interface.
Is CVE-2025-30615 being actively exploited?
While no confirmed exploitation is public, the vulnerability's severity and ease of exploitation suggest a high risk of active exploitation.
Where can I find the official WP e-Commerce Style Email advisory for CVE-2025-30615?
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.