Plataforma
wordpress
Componente
wc-purchase-orders
Corrigido em
1.0.3
Uma vulnerabilidade de acesso arbitrário de arquivos foi descoberta no plugin Purchase Orders for WooCommerce para WordPress. Essa falha, presente nas versões de 1.0.0 a 1.0.2, permite que atacantes autenticados com privilégios de Subscriber ou superiores deletem arquivos no servidor. A exploração bem-sucedida pode levar à execução remota de código, comprometendo a segurança do site WordPress.
A vulnerabilidade permite que um atacante autenticado, com acesso de Subscriber ou superior, delete arquivos arbitrários no servidor. A deleção do arquivo wp-config.php, por exemplo, pode levar à execução remota de código, permitindo que o atacante assuma o controle total do servidor web. A gravidade da vulnerabilidade reside na facilidade de exploração e no potencial para um impacto significativo, incluindo a perda de dados, comprometimento do site e acesso não autorizado a informações sensíveis. A ausência de validação adequada do caminho do arquivo na função delete_file() é a causa raiz do problema.
A vulnerabilidade foi publicada em 2025-08-12. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog) no momento da publicação. A existência de acesso autenticado (Subscriber) facilita a exploração, tornando-a um risco potencial para sites WordPress com permissões de usuário mal configuradas. A ausência de um Proof of Concept (PoC) público não diminui a necessidade de mitigação imediata.
WordPress websites utilizing the Purchase Orders for WooCommerce plugin, particularly those running versions 1.0.0 through 1.0.2, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak password policies or compromised user accounts are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "delete_file\(" /var/www/html/wp-content/plugins/purchase-orders-for-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/purchase-orders-for-woocommerce/delete.php?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'purchase-orders-for-woocommerce'disclosure
Status do Exploit
EPSS
1.42% (percentil 80%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Purchase Orders for WooCommerce para a versão corrigida, assim que estiver disponível. Enquanto isso, como medida temporária, considere restringir o acesso à funcionalidade de deleção de arquivos, limitando-o a administradores de site. Implementar regras de firewall de aplicação web (WAF) para bloquear solicitações que tentem acessar ou deletar arquivos fora do diretório esperado também pode ajudar. Monitore os logs do servidor em busca de tentativas de acesso ou deleção de arquivos suspeitos.
Actualice el plugin Purchase Orders for WooCommerce a la última versión disponible. Esta actualización aborda la vulnerabilidad de eliminación arbitraria de archivos al mejorar la validación de las rutas de los archivos, previniendo que atacantes con privilegios de suscriptor puedan eliminar archivos sensibles en el servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-5391 is a vulnerability in the Purchase Orders for WooCommerce plugin allowing authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using Purchase Orders for WooCommerce versions 1.0.0 through 1.0.2. Upgrade as soon as a patch is available.
Upgrade to a patched version of the plugin. Until a patch is released, implement temporary workarounds like restricting file upload permissions and using a WAF.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests a high probability of exploitation.
Check the Purchase Orders for WooCommerce plugin's official website and WordPress plugin repository for updates and advisories.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.