Plataforma
wordpress
Componente
oxygen-mydata
Corrigido em
1.0.65
Uma vulnerabilidade de Acesso Arbitrário a Arquivos (Path Traversal) foi descoberta no plugin Oxygen MyData for WooCommerce. Essa falha permite que atacantes acessem arquivos sensíveis no servidor, potencialmente comprometendo a confidencialidade e integridade dos dados. A vulnerabilidade afeta versões do plugin de 0.0.0 até 1.0.64. A correção foi disponibilizada na versão 1.0.64.
A vulnerabilidade de Path Traversal permite que um atacante, sem autenticação, explore o plugin Oxygen MyData for WooCommerce para ler arquivos fora do diretório pretendido. Isso pode incluir arquivos de configuração, logs ou até mesmo código-fonte do site. Um atacante pode usar essa vulnerabilidade para obter informações confidenciais, como credenciais de banco de dados, chaves de API ou dados pessoais de clientes. Em cenários mais graves, o atacante pode até mesmo executar código malicioso no servidor, comprometendo a segurança de todo o site WordPress. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, modificação de dados e, potencialmente, à tomada de controle do servidor.
A vulnerabilidade foi divulgada em 2025-04-11. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV). Não foram identificados Proof of Concepts (PoCs) públicos no momento da redação. A pontuação de severidade CVSS é 8.6 (HIGH), indicando um risco significativo.
Websites utilizing Oxygen MyData for WooCommerce, particularly those running older, unpatched versions (0.0.0–1.0.64), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over plugin updates and server configurations. Sites with weak file permission configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/oxygen-mydata-for-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/oxygen-mydata-for-woocommerce/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep oxygen-mydatadisclosure
Status do Exploit
EPSS
0.38% (percentil 59%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Oxygen MyData for WooCommerce para a versão 1.0.64 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais. Implemente regras no seu servidor web (WAF ou proxy reverso) para bloquear solicitações que contenham sequências de path traversal como '../'. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado. Verifique se as permissões de arquivos e diretórios no servidor estão configuradas corretamente, restringindo o acesso apenas aos usuários e grupos necessários.
Actualice el plugin Oxygen MyData for WooCommerce a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo la eliminación arbitraria de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-32631 is a HIGH severity vulnerability allowing attackers to read files outside of intended directories in Oxygen MyData for WooCommerce due to improper path validation.
You are affected if you are using Oxygen MyData for WooCommerce versions 0.0.0 through 1.0.64. Upgrade to 1.0.64 or later to resolve the issue.
Upgrade Oxygen MyData for WooCommerce to version 1.0.64 or later. Consider WAF rules to block path traversal attempts as an interim measure.
As of now, there are no confirmed reports of active exploitation, but the HIGH severity score warrants immediate attention and patching.
Refer to the official Oxygen Suite website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-32631.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.