Plataforma
wordpress
Componente
extendons-eo-wooimport-export
Corrigido em
2.0.7
Uma vulnerabilidade de Path Traversal (acesso arbitrário a arquivos) foi descoberta no plugin WooCommerce CSV Import Export. Essa falha permite que atacantes acessem arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin de 0.0.0 até 2.0.6. A correção foi lançada na versão 2.0.7.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante leia arquivos arbitrários no servidor onde o plugin WooCommerce CSV Import Export está instalado. Isso pode incluir arquivos de configuração, chaves de API, dados de usuários e outros dados sensíveis. Um atacante com acesso a esses arquivos pode comprometer a segurança do site, roubar informações confidenciais ou até mesmo obter controle sobre o servidor. A gravidade da vulnerabilidade é alta devido ao potencial de acesso não autorizado a dados críticos e à facilidade de exploração.
A vulnerabilidade foi divulgada em 28 de agosto de 2025. Não há relatos públicos de exploração ativa no momento. A ausência de um Proof of Concept (PoC) público não diminui a importância de aplicar a correção, pois a vulnerabilidade é relativamente fácil de explorar. A inclusão em um KEV (Know Exploited Vulnerabilities) ainda não foi confirmada.
WordPress websites using the WooCommerce CSV Import Export plugin, particularly those running older versions (0.0.0–2.0.6), are at risk. Shared hosting environments where multiple WordPress installations share the same server are also at increased risk, as a compromise of one site could potentially expose files on other sites.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/extendons-eo-wooimport-export/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/extendons-eo-wooimport-export/../../../../etc/passwd' # Check for file accessdisclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin WooCommerce CSV Import Export para a versão 2.0.7 ou superior. Se a atualização imediata não for possível, considere restringir o acesso ao diretório do plugin através de permissões de arquivo no servidor. Implementar regras de firewall (WAF) que bloqueiem solicitações com caminhos de arquivo suspeitos também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de tentativas de acesso a arquivos não autorizados.
Actualice el plugin WooCommerce csv import export a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-54029 is a vulnerability in WooCommerce CSV Import Export allowing attackers to read files outside the intended directory. It affects versions 0.0.0–2.0.6 and has a CVSS score of 7.7 (HIGH).
You are affected if you are using WooCommerce CSV Import Export version 0.0.0 through 2.0.6. Check your plugin version and upgrade immediately if necessary.
Upgrade the WooCommerce CSV Import Export plugin to version 2.0.7 or later. If immediate upgrade is not possible, implement WAF rules to block path traversal attempts.
As of 2025-08-28, there are no confirmed reports of active exploitation, but the vulnerability's potential impact warrants monitoring.
Refer to the extendons website and WordPress plugin repository for the latest updates and security advisories related to WooCommerce CSV Import Export.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.