Platform
wordpress
Component
extendons-eo-wooimport-export
Opgelost in
2.0.7
CVE-2025-54029 beschrijft een Arbitrary File Access kwetsbaarheid in de WooCommerce csv import export plugin. Deze kwetsbaarheid stelt aanvallers in staat om via pad traversal bestanden buiten de toegestane directory te benaderen, wat kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 2.0.6. Een fix is beschikbaar in versie 2.0.7.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige bestanden op de server te benaderen, mits de plugin geïnstalleerd is en de juiste pad traversal technieken worden toegepast. Dit kan leiden tot het uitlezen van configuratiebestanden, broncode, of andere gevoelige data. Afhankelijk van de bestanden die toegankelijk zijn, kan een aanvaller mogelijk de controle over de website overnemen of gevoelige informatie stelen. Het misbruik van deze kwetsbaarheid kan vergelijkbare gevolgen hebben als andere pad traversal kwetsbaarheden, waarbij de impact afhangt van de permissies van de webserver en de bestanden die toegankelijk zijn.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2025-08-28. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de kwetsbaarheid is inherent kritiek vanwege de mogelijkheid van willekeurige bestandsaccess. Het is aannemelijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt, vooral gezien de populariteit van WordPress en WooCommerce plugins.
WordPress websites using the WooCommerce CSV Import Export plugin, particularly those running older versions (0.0.0–2.0.6), are at risk. Shared hosting environments where multiple WordPress installations share the same server are also at increased risk, as a compromise of one site could potentially expose files on other sites.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/extendons-eo-wooimport-export/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/extendons-eo-wooimport-export/../../../../etc/passwd' # Check for file accessdisclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de WooCommerce csv import export plugin naar versie 2.0.7 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de permissies van de directory waar de plugin zich bevindt, om de impact van een succesvolle exploitatie te minimaliseren. Controleer ook de webserver configuratie om te zorgen dat directory listing is uitgeschakeld. Na de upgrade, controleer de logbestanden op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het proberen van een pad traversal aanval.
Actualice el plugin WooCommerce csv import export a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-54029 is a vulnerability in WooCommerce CSV Import Export allowing attackers to read files outside the intended directory. It affects versions 0.0.0–2.0.6 and has a CVSS score of 7.7 (HIGH).
You are affected if you are using WooCommerce CSV Import Export version 0.0.0 through 2.0.6. Check your plugin version and upgrade immediately if necessary.
Upgrade the WooCommerce CSV Import Export plugin to version 2.0.7 or later. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
As of 2025-08-28, there are no confirmed reports of active exploitation, but the vulnerability's potential impact warrants monitoring.
Refer to the extendons website and WordPress plugin repository for the latest updates and security advisories related to WooCommerce CSV Import Export.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.