Plataforma
wordpress
Componente
hippoo
Corrigido em
1.7.2
A vulnerabilidade CVE-2025-13339 afeta o plugin Hippoo Mobile App for WooCommerce para WordPress, permitindo acesso não autorizado a arquivos do servidor. Essa falha de Path Traversal permite que atacantes não autenticados leiam o conteúdo de arquivos arbitrários, potencialmente expondo informações confidenciais. As versões afetadas são da 0.0.0 até a 1.7.1. A correção foi disponibilizada na versão 1.7.2.
Um atacante pode explorar essa vulnerabilidade para ler arquivos arbitrários no servidor onde o plugin está instalado. Isso inclui arquivos de configuração, arquivos de log e outros arquivos que podem conter informações sensíveis, como credenciais de banco de dados, chaves de API ou dados de clientes. O acesso a esses arquivos pode permitir que o atacante comprometa a segurança do servidor e roube informações confidenciais. A exploração bem-sucedida pode levar à divulgação de dados, escalada de privilégios e até mesmo à tomada de controle do servidor, dependendo dos arquivos acessados e das permissões do usuário do WordPress.
A vulnerabilidade foi divulgada em 2025-12-10. Não há informações disponíveis sobre a existência de um Proof of Concept (PoC) público ou campanhas de exploração ativas no momento da divulgação. A vulnerabilidade foi adicionada ao NVD (National Vulnerability Database). A probabilidade de exploração é considerada média devido à facilidade de exploração e ao impacto potencial.
Websites utilizing the Hippoo Mobile App for WooCommerce plugin, particularly those running older versions (0.0.0–1.7.1), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher concentration of WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/hippoo-mobile-app-for-woocommerce/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/hippoo-mobile-app-for-woocommerce/../../../../etc/passwd' # Check for file disclosure• wordpress / composer / npm:
wp plugin list --status=active | grep 'hippoo-mobile-app-for-woocommerce'• wordpress / composer / npm:
wp plugin update hippoo-mobile-app-for-woocommercedisclosure
Status do Exploit
EPSS
0.07% (percentil 20%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Hippoo Mobile App for WooCommerce para a versão 1.7.2 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório no servidor. Implementar um Web Application Firewall (WAF) com regras para bloquear tentativas de acesso a arquivos arbitrários também pode ajudar a mitigar o risco. Verifique se as permissões de arquivo estão configuradas corretamente para evitar acesso não autorizado.
Atualize para a versão 1.7.2, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13339 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server due to insufficient input validation in the Hippoo Mobile App for WooCommerce plugin.
You are affected if you are using Hippoo Mobile App for WooCommerce versions 0.0.0 through 1.7.1. Upgrade to version 1.7.2 or later to resolve the issue.
Upgrade the Hippoo Mobile App for WooCommerce plugin to version 1.7.2 or later. As a temporary workaround, implement a WAF rule to block suspicious path traversal attempts.
While no public exploits are currently known, the ease of exploitation suggests a medium probability of exploitation. Continuous monitoring is recommended.
Refer to the official Hippoo Mobile App website and WordPress plugin repository for updates and advisories related to CVE-2025-13339.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.