Platform
wordpress
Component
wc-designer-pro
Opgelost in
1.9.29
CVE-2025-10897 beschrijft een kwetsbaarheid van het type Arbitrary File Access in de WooCommerce Designer Pro WordPress plugin. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden op de server te lezen. Versies van WooCommerce Designer Pro tot en met 1.9.28 zijn getroffen. Een patch is beschikbaar in versie 1.9.31.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie kan leiden tot de onthulling van gevoelige informatie, zoals database credentials, door het lezen van bestanden zoals wp-config.php. Dit kan de aanvaller toegang geven tot de gehele WordPress installatie en de onderliggende database. De kwetsbaarheid is ongeauthenticeerd, wat betekent dat een aanvaller geen inloggegevens nodig heeft om deze te exploiteren. Dit vergroot de potentiële impact aanzienlijk, aangezien een aanvaller eenvoudig toegang kan krijgen tot de server via het internet. De mogelijkheid om database credentials te bemachtigen, maakt verdere aanvallen, zoals data-exfiltratie en het compromitteren van de website, mogelijk.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds public proof-of-concepts beschikbaar. De publicatie datum van 2025-10-31 suggereert dat de kwetsbaarheid recent is ontdekt en mogelijk nog niet op grote schaal wordt misbruikt, maar de lage authenticatie vereiste maakt het een aantrekkelijk doelwit. De ernst van de kwetsbaarheid, gecombineerd met de populariteit van WordPress, maakt het waarschijnlijk dat deze in de toekomst actief wordt misbruikt.
Websites using WooCommerce Designer Pro theme versions 1.0.0 through 1.9.28 are at direct risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit the vulnerability on multiple websites hosted on the same server. WordPress installations with default configurations and weak file permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "wp-content/plugins/woocommerce-designer-pro/includes/" /var/log/apache2/access.log• wordpress / composer / npm:
wp plugin list --status=inactive | grep woocommerce-designer-pro• wordpress / composer / npm:
wp plugin list | grep woocommerce-designer-prodisclosure
Exploit Status
EPSS
0.21% (44% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van WooCommerce Designer Pro naar versie 1.9.31 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen. Beperk de toegang tot de WordPress installatie door middel van een firewall of Web Application Firewall (WAF) om ongeautoriseerde toegang te voorkomen. Controleer de bestandsrechten van gevoelige bestanden, zoals wp-config.php, om ervoor te zorgen dat ze niet leesbaar zijn voor de webserver. Implementeer een security scanner om de WordPress installatie regelmatig te scannen op bekende kwetsbaarheden. Na de upgrade, controleer de server logs op verdachte activiteit en bevestig dat de kwetsbaarheid is verholpen door het proberen te benaderen van de kwetsbare endpoint met een ongeauthenticeerde request.
Update naar versie 1.9.31, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-10897 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server running WooCommerce Designer Pro versions 1.0.0–1.9.28, potentially exposing sensitive data.
You are affected if your WordPress site uses WooCommerce Designer Pro versions 1.0.0 through 1.9.28. Check your plugin versions and upgrade immediately if vulnerable.
Upgrade WooCommerce Designer Pro to version 1.9.31 or later to resolve the vulnerability. Implement temporary workarounds like restricting file permissions if immediate upgrading is not possible.
While active exploitation is not confirmed, the vulnerability's simplicity and impact make it a likely target for attackers. Monitor your systems closely.
Refer to the WooCommerce Designer Pro website or plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.