Plataforma
wordpress
Componente
opal-woo-custom-product-variation
Corrigido em
1.2.1
A vulnerabilidade CVE-2025-47535 é classificada como Acesso Arbitrário de Arquivos (Path Traversal) no plugin Opal Woo Custom Product Variation para WordPress. Essa falha permite que um atacante explore a falta de validação adequada de caminhos de arquivo, possibilitando o acesso não autorizado a arquivos no servidor. Versões afetadas incluem aquelas desde a versão inicial (0.0) até a 1.2.0. A correção foi disponibilizada na versão 1.2.1.
Um atacante que explore com sucesso essa vulnerabilidade pode ler arquivos arbitrários no servidor web, potencialmente expondo informações confidenciais como arquivos de configuração, chaves de API, dados de usuários e código-fonte. O acesso a arquivos de configuração pode permitir a modificação da configuração do servidor, levando a uma escalada de privilégios. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor se conseguir acessar e modificar arquivos executáveis. A exploração bem-sucedida pode resultar em comprometimento completo do servidor WordPress e de seus dados associados.
A vulnerabilidade foi divulgada em 23 de maio de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos KEV (CISA KEV). A pontuação de probabilidade do EPSS ainda não foi determinada. É importante aplicar a correção ou implementar medidas de mitigação para reduzir o risco de exploração.
WordPress websites using the Opal Woo Custom Product Variation plugin, particularly those running older versions (0.0 - 1.2.0), are at risk. Shared hosting environments are especially vulnerable, as a compromise of one website can potentially affect others on the same server. Sites with weak file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.38% (percentil 59%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-47535 é atualizar o plugin Opal Woo Custom Product Variation para a versão 1.2.1 ou superior, que contém a correção para essa vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório no servidor web. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações de caminho de arquivo suspeitas também pode ajudar a mitigar o risco. Monitore os logs do servidor web em busca de tentativas de acesso a arquivos não autorizados.
Actualice el plugin Opal Woo Custom Product Variation a la última versión disponible para mitigar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-47535 is a HIGH severity vulnerability allowing attackers to read files outside the intended directory in the Opal Woo Custom Product Variation plugin. It affects versions 0.0 through 1.2.0.
If you are using Opal Woo Custom Product Variation version 0.0 - 1.2.0 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the Opal Woo Custom Product Variation plugin to version 1.2.1 or later to resolve this vulnerability. Consider temporary restrictions or WAF rules if immediate upgrade is not possible.
There is currently no confirmed active exploitation of CVE-2025-47535, but the vulnerability's nature makes it a potential target.
Please refer to the official Opal Woo Custom Product Variation website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.