Platform
wordpress
Component
oxygen-mydata
Opgelost in
1.0.65
CVE-2025-32631 beschrijft een kwetsbaarheid van het type Path Traversal in de Oxygen MyData for WooCommerce plugin. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 1.0.64. Een patch is beschikbaar in versie 1.0.64.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan verstrekkende gevolgen hebben. Aanvallers kunnen gevoelige bestanden zoals configuratiebestanden, database dumps of broncode benaderen. Dit kan leiden tot data-exfiltratie, wijziging van bestanden, of zelfs de mogelijkheid om code uit te voeren op de server. De impact is aanzienlijk, vooral omdat WooCommerce-websites vaak gevoelige klantgegevens bevatten. De kwetsbaarheid kan worden gebruikt om een brede aanval uit te voeren, waarbij de gehele website wordt gecompromitteerd.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-04-11. Er zijn momenteel geen publieke Proof-of-Concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De EPSS score is momenteel niet bekend, maar gezien de openbare bekendmaking en de eenvoud van exploitatie, is een medium tot hoog risico waarschijnlijk. Er zijn geen meldingen van actieve campagnes bekend.
Websites utilizing Oxygen MyData for WooCommerce, particularly those running older, unpatched versions (0.0.0–1.0.64), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over plugin updates and server configurations. Sites with weak file permission configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/oxygen-mydata-for-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/oxygen-mydata-for-woocommerce/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep oxygen-mydatadisclosure
Exploit Status
EPSS
0.38% (59% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Oxygen MyData for WooCommerce plugin naar versie 1.0.64 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegangsrechten van de webservergebruiker of het implementeren van een Web Application Firewall (WAF) met regels om padmanipulatie te detecteren en te blokkeren. Controleer ook de configuratie van de plugin op ongebruikelijke instellingen die de kwetsbaarheid kunnen verergeren. Na de upgrade, controleer de serverlogs op verdachte activiteit die verband kan houden met pogingen tot padmanipulatie.
Actualice el plugin Oxygen MyData for WooCommerce a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo la eliminación arbitraria de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-32631 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in Oxygen MyData for WooCommerce due to improper path validation.
You are affected if you are using Oxygen MyData for WooCommerce versions 0.0.0 through 1.0.64. Upgrade to 1.0.64 or later to resolve the issue.
Upgrade Oxygen MyData for WooCommerce to version 1.0.64 or later. Consider WAF rules to block path traversal attempts as an interim measure.
As of now, there are no confirmed reports of active exploitation, but the HIGH severity score warrants immediate attention and patching.
Refer to the official Oxygen Suite website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-32631.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.