Plataforma
wordpress
Componente
storecontrl-wp-connection
Corrigido em
4.1.4
Uma vulnerabilidade de Acesso Arbitrário de Arquivos (Path Traversal) foi descoberta no plugin StoreContrl Woocommerce da Arture B.V. Essa falha permite que atacantes acessem arquivos sensíveis no servidor, potencialmente comprometendo a confidencialidade e integridade dos dados. A vulnerabilidade afeta versões do plugin de 0.0.0 até 4.1.3. A correção foi lançada na versão 4.1.4.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante leia arquivos arbitrários no servidor web onde o plugin StoreContrl Woocommerce está instalado. Isso pode incluir arquivos de configuração, arquivos de log contendo informações sensíveis, ou até mesmo código-fonte do aplicativo. Um atacante poderia usar essa vulnerabilidade para obter informações confidenciais, como credenciais de banco de dados, chaves de API ou informações pessoais de clientes. Em cenários mais graves, um atacante poderia até mesmo modificar arquivos no servidor, levando à execução de código malicioso ou à interrupção do serviço. A vulnerabilidade se assemelha a outros ataques de path traversal que exploram a falta de validação adequada de caminhos de arquivo.
A vulnerabilidade foi divulgada em 2025-04-17. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos KEV como o CISA KEV. Não há public proof-of-concept (PoC) amplamente disponíveis no momento. A severidade é classificada como Alta (CVSS 7.5).
WordPress websites using the StoreContrl Woocommerce plugin, particularly those running older versions (0.0.0–4.1.3), are at risk. Shared hosting environments where WordPress installations have limited access controls are especially vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other websites on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/storecontrl-wp-connection/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/storecontrl-wp-connection/../../../../etc/passwd | head -n 1disclosure
Status do Exploit
EPSS
0.50% (percentil 66%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin StoreContrl Woocommerce para a versão 4.1.4 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente restrições de acesso ao diretório do plugin no servidor web, limitando o acesso apenas a usuários e processos autorizados. Monitore os logs do servidor web em busca de tentativas de acesso a arquivos fora do diretório esperado do plugin. Considere a implementação de um Web Application Firewall (WAF) com regras para bloquear solicitações que contenham caracteres de path traversal (por exemplo, '..').
Actualice el plugin StoreContrl Woocommerce a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-39568 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a WordPress server via path traversal in the StoreContrl Woocommerce plugin.
You are affected if you are using StoreContrl Woocommerce versions 0.0.0 through 4.1.3. Upgrade to 4.1.4 or later to resolve the issue.
Upgrade StoreContrl Woocommerce to version 4.1.4 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
While no active exploitation has been publicly confirmed, the ease of exploitation makes it a likely target. Monitor your systems for suspicious activity.
Refer to the StoreContrl website and WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.