Plataforma
wordpress
Componente
counter-visitor-for-woocommerce
Corrigido em
1.3.7
A vulnerabilidade CVE-2025-7359 afeta o plugin Counter Live Visitors for WooCommerce, permitindo acesso arbitrário de arquivos. Devido à falta de validação adequada do caminho do arquivo na função wcvisitorgetblock, atacantes não autenticados podem deletar arquivos no servidor. Essa falha impacta versões do plugin de 1.0.0 a 1.3.6 e a correção foi publicada em 2025-07-16.
Um atacante pode explorar essa vulnerabilidade para deletar arquivos arbitrários no servidor WordPress. Isso pode levar à perda de dados críticos, corrupção de arquivos de configuração ou até mesmo a uma negação de serviço, tornando o site inacessível. A capacidade de deletar arquivos sem autenticação aumenta significativamente o risco, pois qualquer usuário externo pode potencialmente explorar essa falha. A ausência de validação do caminho do arquivo permite que o atacante manipule o destino da operação de deleção, direcionando-a para arquivos sensíveis.
A vulnerabilidade foi divulgada em 2025-07-16. Não há informações disponíveis sobre a existência de um Proof of Concept (PoC) público ou campanhas de exploração ativas no momento. A vulnerabilidade foi adicionada ao NVD (National Vulnerability Database) e a CISA (Cybersecurity and Infrastructure Security Agency) pode avaliá-la para inclusão no KEV (Known Exploited Vulnerabilities) catalog.
Websites using the Counter live visitors for WooCommerce plugin, particularly those running older, unpatched versions (1.0.0–1.3.6), are at risk. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit this vulnerability to impact multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r "wcvisitor_get_block" /var/www/html/wp-content/plugins/counter-live-visitors-for-woocommerce/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/counter-live-visitors-for-woocommerce/wcvisitor_get_block?file=../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Status do Exploit
EPSS
0.71% (percentil 72%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a atualização do plugin Counter Live Visitors for WooCommerce para uma versão corrigida (ainda não especificada, pois a correção foi publicada junto com a divulgação). Enquanto a atualização não estiver disponível, considere desativar o plugin. Como alternativa, implemente regras de firewall de aplicação web (WAF) para bloquear solicitações que tentem acessar ou manipular arquivos fora do diretório esperado do plugin. Monitore os logs do servidor em busca de tentativas de acesso ou deleção de arquivos suspeitas.
Actualice el plugin Counter live visitors for WooCommerce a una versión corregida. La vulnerabilidad ha sido solucionada en versiones posteriores a la 1.3.6. Verifique la página del plugin en WordPress.org para obtener la última versión disponible.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-7359 is a vulnerability in the Counter live visitors for WooCommerce plugin allowing unauthenticated attackers to delete files on a WordPress server due to flawed file path validation.
You are affected if you are using the Counter live visitors for WooCommerce plugin versions 1.0.0 through 1.3.6. Upgrade immediately to mitigate the risk.
Upgrade the Counter live visitors for WooCommerce plugin to a patched version. Until a patch is available, restrict file permissions and monitor server logs.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests it is likely to be exploited soon. Monitor your systems closely.
Refer to the WooCommerce plugin repository and WordPress security announcements for the official advisory and patch information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.