Plataforma
wordpress
Componente
wp-e-commerce-style-email
Corrigido em
0.6.3
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin WP e-Commerce Style Email, permitindo injeção de código. Essa falha afeta versões do plugin de 0.0.0 até 0.6.2. A exploração bem-sucedida pode levar à execução remota de código no servidor WordPress, comprometendo a integridade do site e seus dados. A versão corrigida, 0.6.3, já foi lançada.
A vulnerabilidade CSRF no WP e-Commerce Style Email permite que um atacante execute código malicioso no servidor WordPress sem a necessidade de autenticação. Um atacante pode criar uma requisição maliciosa que, quando executada por um usuário autenticado no site, injeta código arbitrário. Isso pode resultar no comprometimento completo do site, incluindo a exfiltração de dados sensíveis, a instalação de malware ou a modificação do conteúdo do site. A severidade CRÍTICA indica um alto risco de exploração e um impacto significativo no sistema afetado. A ausência de autenticação necessária para a exploração amplia o potencial de ataques em larga escala.
A vulnerabilidade foi divulgada em 2025-03-24. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA no momento da publicação. A existência de uma vulnerabilidade CSRF com potencial de execução remota de código a torna um alvo atraente para atacantes, especialmente em ambientes WordPress com configurações de segurança inadequadas. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração pode ser desenvolvida por atacantes.
Websites utilizing the WP e-Commerce Style Email plugin, particularly those running older, unpatched versions (0.0.0 - 0.6.2), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp_e_commerce_style_email" /var/www/html/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-e-commerce-style-email• wordpress / composer / npm:
wp plugin list --status=active | grep wp-e-commerce-style-email• generic web: Check for unusual POST requests to plugin endpoints in access logs. • generic web: Monitor for unexpected file modifications in the plugin's directory.
disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WP e-Commerce Style Email para a versão 0.6.3, que corrige a vulnerabilidade CSRF. Se a atualização imediata não for possível, implemente medidas de proteção CSRF adicionais, como a validação rigorosa de tokens CSRF em todas as requisições que modificam dados. Considere o uso de um Web Application Firewall (WAF) para bloquear requisições maliciosas. Monitore os logs do WordPress em busca de atividades suspeitas, como requisições inesperadas ou modificações não autorizadas. Após a atualização, confirme a correção verificando se as requisições que antes eram vulneráveis agora requerem a validação de tokens CSRF.
Atualize o plugin WP e-Commerce Style Email para a última versão disponível para mitigar a vulnerabilidade de CSRF que poderia permitir a execução remota de código. Consulte o repositório do plugin em wordpress.org para obter a versão atualizada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-30615 is a critical Remote Code Execution vulnerability in the WP e-Commerce Style Email plugin, allowing attackers to inject code via CSRF.
You are affected if you are using WP e-Commerce Style Email versions 0.0.0 through 0.6.2. Upgrade immediately.
Upgrade the plugin to version 0.6.3 or later. As a temporary workaround, restrict access to the plugin's administrative interface.
While no confirmed exploitation is public, the vulnerability's severity and ease of exploitation suggest a high risk of active exploitation.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.