Platform
wordpress
Component
counter-visitor-for-woocommerce
Opgelost in
1.3.7
CVE-2025-7359 beschrijft een Arbitrary File Access kwetsbaarheid in de Counter live visitors for WooCommerce WordPress plugin. Deze kwetsbaarheid stelt onauthenticated aanvallers in staat om willekeurige bestanden op de server te verwijderen. De kwetsbaarheid treft versies van de plugin tussen 1.0.0 en 1.3.6 inclusief. Een beveiligde update is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van CVE-2025-7359 kan leiden tot ernstige gevolgen. Aanvallers kunnen willekeurige bestanden op de server verwijderen, wat resulteert in dataverlies, verstoring van de dienstverlening (denial-of-service) of zelfs compromittering van de hele WordPress-installatie. Omdat de kwetsbaarheid geen authenticatie vereist, kan een onbevoogd individu deze misbruiken. De mogelijkheid om bestanden te verwijderen in een gerichte directory maakt de impact potentieel groter dan een enkele bestandsverwijdering, aangezien een hele directory kan worden leeggemaakt.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-07-16. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar de lage authenticatie-eis maakt het een aantrekkelijk doelwit. Er zijn geen publieke proof-of-concept exploits beschikbaar op het moment van schrijven, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen.
Websites using the Counter live visitors for WooCommerce plugin, particularly those running older, unpatched versions (1.0.0–1.3.6), are at risk. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit this vulnerability to impact multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r "wcvisitor_get_block" /var/www/html/wp-content/plugins/counter-live-visitors-for-woocommerce/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/counter-live-visitors-for-woocommerce/wcvisitor_get_block?file=../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Exploit Status
EPSS
0.71% (72% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-7359 is het updaten van de Counter live visitors for WooCommerce plugin naar een beveiligde versie. Controleer de WordPress plugin repository voor de meest recente versie. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk beperken van de toegang tot de plugin-directory via een web application firewall (WAF) of proxy server. Configureer de WAF om verzoeken naar de wcvisitorgetblock functie te blokkeren. Controleer ook de serverlogboeken op verdachte activiteiten.
Actualice el plugin Counter live visitors for WooCommerce a una versión corregida. La vulnerabilidad ha sido solucionada en versiones posteriores a la 1.3.6. Verifique la página del plugin en WordPress.org para obtener la última versión disponible.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-7359 is a vulnerability in the Counter live visitors for WooCommerce plugin allowing unauthenticated attackers to delete files on a WordPress server due to flawed file path validation.
You are affected if you are using the Counter live visitors for WooCommerce plugin versions 1.0.0 through 1.3.6. Upgrade immediately to mitigate the risk.
Upgrade the Counter live visitors for WooCommerce plugin to a patched version. Until a patch is available, restrict file permissions and monitor server logs.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests it is likely to be exploited soon. Monitor your systems closely.
Refer to the WooCommerce plugin repository and WordPress security announcements for the official advisory and patch information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.