Platform
wordpress
Component
opal-woo-custom-product-variation
Opgelost in
1.2.1
CVE-2025-47535 beschrijft een kwetsbaarheid van het type Path Traversal in de WordPress plugin Opal Woo Custom Product Variation. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van de plugin tussen 0 en 1.2.0. Een patch is beschikbaar in versie 1.2.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan ernstige gevolgen hebben. Aanvallers kunnen gevoelige configuratiebestanden, broncode of andere kritieke data benaderen. Afhankelijk van de bestanden die toegankelijk zijn, kan dit leiden tot het compromitteren van de gehele WordPress installatie en de daaraan gekoppelde data. De impact kan verder reiken als de server toegang heeft tot andere systemen, waardoor lateraal bewegen mogelijk wordt. Dit is vergelijkbaar met eerdere Path Traversal kwetsbaarheden waarbij aanvallers toegang kregen tot de database of andere gevoelige informatie.
Deze kwetsbaarheid is publiekelijk bekend gemaakt op 2025-05-23. Er is momenteel geen informatie over actieve exploitatiecampagnes. Er zijn geen public proof-of-concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De CISA KEV status is momenteel onbekend.
WordPress websites using the Opal Woo Custom Product Variation plugin, particularly those running older versions (0.0 - 1.2.0), are at risk. Shared hosting environments are especially vulnerable, as a compromise of one website can potentially affect others on the same server. Sites with weak file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.38% (59% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Opal Woo Custom Product Variation plugin naar versie 1.2.1 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die padmanipulatie detecteert en blokkeert. Controleer ook de permissies van bestanden en directories op de server om te zorgen dat ze niet te permissief zijn ingesteld. Monitor de server logs op verdachte padmanipulatie pogingen.
Actualice el plugin Opal Woo Custom Product Variation a la última versión disponible para mitigar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-47535 is a HIGH severity vulnerability allowing attackers to read files outside the intended directory in the Opal Woo Custom Product Variation plugin. It affects versions 0.0 through 1.2.0.
If you are using Opal Woo Custom Product Variation version 0.0 - 1.2.0 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the Opal Woo Custom Product Variation plugin to version 1.2.1 or later to resolve this vulnerability. Consider temporary restrictions or WAF rules if immediate upgrade is not possible.
There is currently no confirmed active exploitation of CVE-2025-47535, but the vulnerability's nature makes it a potential target.
Please refer to the official Opal Woo Custom Product Variation website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.