Plataforma
wordpress
Componente
import-products-to-wc
Corrigido em
1.2.8
A vulnerabilidade CVE-2025-5817 é uma falha de Server-Side Request Forgery (SSRF) identificada no plugin Amazon Products to WooCommerce para WordPress. Essa falha permite que atacantes não autenticados realizem requisições web arbitrárias a partir da aplicação, possibilitando o acesso e a modificação de informações de serviços internos. A vulnerabilidade afeta versões do plugin de 1.0.0 até 1.2.7, sendo corrigida na versão 1.2.8.
Um atacante explorando essa vulnerabilidade pode realizar requisições para qualquer URL que o servidor WordPress tenha permissão para acessar. Isso inclui, mas não se limita a, acessar APIs internas, consultar informações confidenciais armazenadas em outros serviços, e potencialmente até mesmo executar ações em nome do servidor. O impacto pode variar dependendo da configuração do servidor e dos serviços internos expostos, mas em cenários críticos, pode levar à divulgação de dados sensíveis ou comprometimento do sistema. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o risco, tornando-a acessível a qualquer usuário da web.
A vulnerabilidade foi publicada em 2025-07-02. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A ausência de um Proof of Concept (PoC) publicamente disponível sugere um risco de exploração menor, mas a natureza da vulnerabilidade SSRF exige atenção e mitigação proativa.
WordPress websites utilizing the Amazon Products to WooCommerce plugin, particularly those with internal services accessible via HTTP or HTTPS, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and configurations. Legacy WordPress installations running older versions of PHP or with outdated security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'wcta2w_get_urls()' /var/www/html/wp-content/plugins/amazon-products-to-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/amazon-products-to-woocommerce/ | grep Server• wordpress / composer / npm:
wp plugin list | grep 'amazon-products-to-woocommerce'• wordpress / composer / npm:
wp plugin status | grep 'amazon-products-to-woocommerce'disclosure
Status do Exploit
EPSS
0.18% (percentil 40%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-5817 é a atualização imediata para a versão 1.2.8 do plugin Amazon Products to WooCommerce. Se a atualização não for possível devido a incompatibilidades com outros plugins ou temas, considere implementar medidas de mitigação adicionais. Restrinja o acesso à rede interna do servidor WordPress, bloqueando requisições para endereços IP e domínios não confiáveis. Utilize um Web Application Firewall (WAF) para filtrar requisições maliciosas e bloquear tentativas de SSRF. Monitore os logs do servidor WordPress em busca de atividades suspeitas, como requisições para URLs inesperadas.
Atualize o plugin Amazon Products to WooCommerce para a versão 1.2.8 ou superior para mitigar a vulnerabilidade de Solicitação de Forja de Servidor. Esta atualização corrige a forma como as requisições web são gerenciadas, prevenindo que atacantes não autenticados realizem requisições maliciosas desde a aplicação.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-5817 é uma vulnerabilidade de Server-Side Request Forgery (SSRF) no plugin Amazon Products to WooCommerce, permitindo que atacantes façam requisições web arbitrárias a partir do servidor WordPress.
Se você estiver utilizando o plugin Amazon Products to WooCommerce nas versões de 1.0.0 a 1.2.7, você está afetado por esta vulnerabilidade.
A correção recomendada é atualizar o plugin para a versão 1.2.8. Se a atualização não for possível, implemente medidas de mitigação como restrição de acesso à rede e WAF.
Atualmente, não há informações disponíveis sobre exploração ativa da vulnerabilidade, mas a natureza do SSRF exige atenção e mitigação proativa.
Consulte o site oficial do plugin Amazon Products to WooCommerce ou o repositório do WordPress para obter o advisory oficial e informações adicionais sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.