Platform
wordpress
Component
import-products-to-wc
Opgelost in
1.2.8
CVE-2025-5817 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de Amazon Products to WooCommerce WordPress plugin. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om webverzoeken te initiëren naar willekeurige locaties, wat potentieel interne systemen kan blootleggen. De kwetsbaarheid treft versies van de plugin tussen 1.0.0 en 1.2.7 inclusief. Een fix is beschikbaar in versie 1.2.8.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services bevragen en mogelijk manipuleren, zelfs als deze niet direct toegankelijk zijn vanaf het internet. Dit kan leiden tot data-exfiltratie, configuratiewijzigingen of zelfs toegang tot andere interne systemen. De impact is vergelijkbaar met scenario's waarbij een interne applicatie onbedoeld toegang krijgt tot gevoelige bronnen. De mogelijkheid om interne services te bevragen vergroot de aanvalsoppervlakte aanzienlijk.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen bevestigde melding van actieve exploitatie, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is gepubliceerd op 2025-07-02. Er zijn geen bekende KEV-listings op het moment van schrijven.
WordPress websites utilizing the Amazon Products to WooCommerce plugin, particularly those with internal services accessible via HTTP or HTTPS, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and configurations. Legacy WordPress installations running older versions of PHP or with outdated security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'wcta2w_get_urls()' /var/www/html/wp-content/plugins/amazon-products-to-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/amazon-products-to-woocommerce/ | grep Server• wordpress / composer / npm:
wp plugin list | grep 'amazon-products-to-woocommerce'• wordpress / composer / npm:
wp plugin status | grep 'amazon-products-to-woocommerce'disclosure
Exploit Status
EPSS
0.18% (40% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Amazon Products to WooCommerce plugin naar versie 1.2.8 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) met regels die SSRF-aanvallen detecteren en blokkeren. Controleer de WordPress configuratie op restricties die het aantal toegestane verzoeken beperken. Monitor de server logs op ongebruikelijke verzoeken die afkomstig zijn van de plugin.
Werk de Amazon Products to WooCommerce plugin bij naar versie 1.2.8 of hoger om de Server-Side Request Forgery kwetsbaarheid te mitigeren. Deze update corrigeert de manier waarop webverzoeken worden afgehandeld, waardoor voorkomt dat niet-geauthenticeerde aanvallers kwaadaardige verzoeken vanuit de applicatie kunnen uitvoeren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-5817 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de Amazon Products to WooCommerce plugin voor WordPress, waardoor ongeauthenticeerde aanvallers interne systemen kunnen bevragen.
Ja, als u de Amazon Products to WooCommerce plugin gebruikt in versie 1.0.0 tot en met 1.2.7, bent u kwetsbaar voor deze SSRF-kwetsbaarheid.
Upgrade de Amazon Products to WooCommerce plugin naar versie 1.2.8 of hoger om deze kwetsbaarheid te verhelpen.
Er zijn momenteel geen bevestigde meldingen van actieve exploitatie, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt.
Raadpleeg de WordPress plugin directory of de website van de plugin-ontwikkelaar voor het officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.