Platform
wordpress
Component
wp-e-commerce-style-email
Opgelost in
0.6.3
CVE-2025-30615 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WordPress plugin WP e-Commerce Style Email. Deze kwetsbaarheid stelt een aanvaller in staat om code injectie uit te voeren, wat kan leiden tot Remote Code Execution. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 0.6.2. Een fix is beschikbaar in versie 0.6.3.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op de webserver waarop de WordPress site draait. Dit kan leiden tot volledige controle over de site, inclusief het stelen van gevoelige data, het wijzigen van content, en het installeren van malware. Aangezien het om een CSRF-lek gaat, kan een aanvaller deze exploitatie uitvoeren zonder dat de gebruiker er direct van op de hoogte is, zolang de gebruiker is ingelogd op de WordPress site. De impact is significant, aangezien een aanvaller de hele WordPress omgeving kan compromitteren.
Deze kwetsbaarheid is openbaar bekend en de publicatie datum is 2025-03-24. Er is geen informatie beschikbaar over actieve exploitatiecampagnes of toevoeging aan de CISA KEV catalogus op dit moment. Het is aannemelijk dat er in de toekomst proof-of-concept exploits beschikbaar komen, gezien de kritieke ernst en de openbare bekendmaking.
Websites utilizing the WP e-Commerce Style Email plugin, particularly those running older, unpatched versions (0.0.0 - 0.6.2), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp_e_commerce_style_email" /var/www/html/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-e-commerce-style-email• wordpress / composer / npm:
wp plugin list --status=active | grep wp-e-commerce-style-email• generic web: Check for unusual POST requests to plugin endpoints in access logs. • generic web: Monitor for unexpected file modifications in the plugin's directory.
disclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de WP e-Commerce Style Email plugin naar versie 0.6.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) met CSRF-bescherming. Controleer de WordPress site op verdachte code injecties en ongebruikelijke bestandsmodificaties. Implementeer strikte toegangscontroles en authenticatieprocedures om ongeautoriseerde toegang te voorkomen. Na de upgrade, verifieer de fix door te proberen een CSRF-aanval uit te voeren en te controleren of de code injectie wordt geblokkeerd.
Werk de WP e-Commerce Style Email plugin bij naar de laatste beschikbare versie om de CSRF kwetsbaarheid te mitigeren die de uitvoering van code op afstand mogelijk kan maken. Raadpleeg de plugin repository op wordpress.org voor de bijgewerkte versie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-30615 is a critical Remote Code Execution vulnerability in the WP e-Commerce Style Email plugin, allowing attackers to inject code via CSRF.
You are affected if you are using WP e-Commerce Style Email versions 0.0.0 through 0.6.2. Upgrade immediately.
Upgrade the plugin to version 0.6.3 or later. As a temporary workaround, restrict access to the plugin's administrative interface.
While no confirmed exploitation is public, the vulnerability's severity and ease of exploitation suggest a high risk of active exploitation.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.