Platform
wordpress
Component
storecontrl-wp-connection
Opgelost in
4.1.4
CVE-2025-39568 beschrijft een 'Path Traversal' kwetsbaarheid in de StoreContrl Woocommerce plugin, ontwikkeld door Arture B.V. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerd toegang te krijgen tot bestanden op de server. De kwetsbaarheid treft versies van StoreContrl Woocommerce van 0.0.0 tot en met 4.1.3. Een patch is beschikbaar in versie 4.1.4.
De 'Path Traversal' kwetsbaarheid in StoreContrl Woocommerce maakt het mogelijk voor een aanvaller om bestanden buiten de toegestane directory te benaderen. Dit kan leiden tot het uitlezen van gevoelige configuratiebestanden, broncode, of zelfs het uitvoeren van code op de server, afhankelijk van de bestandsrechten. Een succesvolle exploitatie kan resulteren in data-exfiltratie, compromittering van de website, en mogelijk volledige controle over de server. De impact is vergelijkbaar met andere path traversal kwetsbaarheden waarbij de aanvaller de structuur van het bestandssysteem kan manipuleren om toegang te krijgen tot verboden bronnen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar via de NVD. Er is geen informatie over actieve exploitatiecampagnes op dit moment. De publicatie datum van de CVE is 2025-04-17. De impact is hoog vanwege de mogelijkheid van data-exfiltratie en servercompromittering.
WordPress websites using the StoreContrl Woocommerce plugin, particularly those running older versions (0.0.0–4.1.3), are at risk. Shared hosting environments where WordPress installations have limited access controls are especially vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other websites on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/storecontrl-wp-connection/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/storecontrl-wp-connection/../../../../etc/passwd | head -n 1disclosure
Exploit Status
EPSS
0.50% (66% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-39568 is het updaten van de StoreContrl Woocommerce plugin naar versie 4.1.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegangsrechten tot de plugin directory, of het implementeren van een Web Application Firewall (WAF) met regels die path traversal pogingen detecteren en blokkeren. Controleer ook de configuratie van de webserver om te zorgen dat directory listing is uitgeschakeld. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot bestanden buiten de toegestane directory via de plugin interface.
Actualice el plugin StoreContrl Woocommerce a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-39568 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server via path traversal in the StoreContrl Woocommerce plugin.
You are affected if you are using StoreContrl Woocommerce versions 0.0.0 through 4.1.3. Upgrade to 4.1.4 or later to resolve the issue.
Upgrade StoreContrl Woocommerce to version 4.1.4 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
While no active exploitation has been publicly confirmed, the ease of exploitation makes it a likely target. Monitor your systems for suspicious activity.
Refer to the StoreContrl website and WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.