Platform
wordpress
Component
wc-purchase-orders
Opgelost in
1.0.3
De Purchase Orders for WooCommerce plugin voor WordPress vertoont een Arbitrary File Access kwetsbaarheid. Deze kwetsbaarheid, die tot remote code execution kan leiden, is aanwezig in versies 1.0.0 tot en met 1.0.2. Door onvoldoende validatie van bestandspaden in de delete_file() functie kunnen geauthenticeerde aanvallers, met Subscriber-niveau toegang of hoger, willekeurige bestanden op de server verwijderen. Een patch is beschikbaar en wordt sterk aanbevolen.
Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te verwijderen. De meest kritieke impact is de mogelijkheid tot remote code execution (RCE). Door bijvoorbeeld het wp-config.php bestand te verwijderen, kan een aanvaller de toegang tot de WordPress installatie compromitteren en kwaadaardige code uitvoeren. Dit kan leiden tot data-exfiltratie, website defacement, of volledige controle over de server. De kwetsbaarheid vereist wel geauthenticeerde toegang, maar de Subscriber rol is relatief eenvoudig te verkrijgen in veel WordPress omgevingen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de mogelijkheid tot remote code execution maakt het een aantrekkelijk doelwit. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de potentiële impact onderstreept. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de eenvoud van de exploitatie maakt dit waarschijnlijk.
WordPress websites utilizing the Purchase Orders for WooCommerce plugin, particularly those running versions 1.0.0 through 1.0.2, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak password policies or compromised user accounts are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "delete_file\(" /var/www/html/wp-content/plugins/purchase-orders-for-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/purchase-orders-for-woocommerce/delete.php?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'purchase-orders-for-woocommerce'disclosure
Exploit Status
EPSS
1.42% (80% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar de meest recente versie van de Purchase Orders for WooCommerce plugin, zodra deze beschikbaar is. Totdat de upgrade mogelijk is, kan een tijdelijke workaround het beperken van bestandstoegangrechten op de server zijn. Zorg ervoor dat de WordPress installatie en de plugin directory's alleen toegankelijk zijn voor de webserver gebruiker. Daarnaast kan het implementeren van een Web Application Firewall (WAF) met regels die pogingen tot bestandverwijdering detecteren en blokkeren, helpen. Controleer ook de WordPress logbestanden op verdachte activiteit.
Actualice el plugin Purchase Orders for WooCommerce a la última versión disponible. Esta actualización aborda la vulnerabilidad de eliminación arbitraria de archivos al mejorar la validación de las rutas de los archivos, previniendo que atacantes con privilegios de suscriptor puedan eliminar archivos sensibles en el servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-5391 is a vulnerability in the Purchase Orders for WooCommerce plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using Purchase Orders for WooCommerce versions 1.0.0 through 1.0.2. Upgrade as soon as a patch is available.
Upgrade to a patched version of the plugin. Until a patch is released, implement temporary workarounds like restricting file upload permissions and using a WAF.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests a high probability of exploitation.
Check the Purchase Orders for WooCommerce plugin's official website and WordPress plugin repository for updates and advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.