Plataforma
wordpress
Componente
wc-designer-pro
Corrigido em
1.9.29
Uma vulnerabilidade de acesso arbitrário de arquivos foi descoberta no tema WooCommerce Designer Pro para WordPress. Essa falha permite que atacantes não autenticados leiam arquivos arbitrários no servidor, potencialmente expondo informações sensíveis. As versões afetadas são de 1.0.0 até 1.9.28, e a correção está disponível na versão 1.9.31.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado acesse qualquer arquivo no servidor que o processo do WordPress possa ler. O impacto mais grave é a possível exposição de credenciais do banco de dados, especialmente se o arquivo wp-config.php for acessível. Um atacante poderia usar essas credenciais para obter acesso total ao banco de dados do WordPress, comprometendo todo o site. Além disso, a leitura de outros arquivos de configuração pode revelar chaves de API, senhas de outros serviços ou informações confidenciais sobre a infraestrutura do servidor. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o risco.
Esta vulnerabilidade foi publicada em 2025-10-31. Não há informações disponíveis sobre sua inclusão no KEV da CISA ou sobre a existência de exploits públicos. A ausência de um exploit público não diminui a gravidade da vulnerabilidade, pois a facilidade de exploração a torna um alvo atraente para atacantes.
Websites using WooCommerce Designer Pro theme versions 1.0.0 through 1.9.28 are at direct risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit the vulnerability on multiple websites hosted on the same server. WordPress installations with default configurations and weak file permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "wp-content/plugins/woocommerce-designer-pro/includes/" /var/log/apache2/access.log• wordpress / composer / npm:
wp plugin list --status=inactive | grep woocommerce-designer-pro• wordpress / composer / npm:
wp plugin list | grep woocommerce-designer-prodisclosure
Status do Exploit
EPSS
0.21% (percentil 44%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o tema WooCommerce Designer Pro para a versão 1.9.31 ou superior. Se a atualização imediata não for possível, considere restringir o acesso ao diretório do tema através de configurações do servidor web (Apache, Nginx). Implementar regras de firewall (WAF) que bloqueiem solicitações para arquivos sensíveis, como wp-config.php, pode fornecer uma camada adicional de proteção. Monitore os logs do servidor web e do WordPress em busca de tentativas de acesso a arquivos não autorizados. Após a atualização, verifique se o acesso aos arquivos sensíveis está devidamente restrito, testando com uma solicitação de acesso a um arquivo que deveria estar inacessível.
Atualize para a versão 1.9.31, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-10897 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server running WooCommerce Designer Pro versions 1.0.0–1.9.28, potentially exposing sensitive data.
You are affected if your WordPress site uses WooCommerce Designer Pro versions 1.0.0 through 1.9.28. Check your plugin versions and upgrade immediately if vulnerable.
Upgrade WooCommerce Designer Pro to version 1.9.31 or later to resolve the vulnerability. Implement temporary workarounds like restricting file permissions if immediate upgrading is not possible.
While active exploitation is not confirmed, the vulnerability's simplicity and impact make it a likely target for attackers. Monitor your systems closely.
Refer to the WooCommerce Designer Pro website or plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.