平台
wordpress
组件
wc-designer-pro
修复版本
1.9.29
CVE-2025-10897描述了WooCommerce Designer Pro WordPress插件中的一个严重漏洞,允许未经身份验证的攻击者进行任意文件读取。该漏洞可能导致攻击者访问敏感信息,例如数据库凭据,从而危及整个WordPress网站的安全。该漏洞影响WooCommerce Designer Pro的所有版本,从1.0.0到1.9.28。已发布补丁版本1.9.31,建议用户立即更新。
攻击者利用此漏洞可以读取服务器上的任何文件,只要他们能够访问受影响的WordPress网站。这包括wp-config.php文件,其中包含数据库连接信息。如果攻击者成功读取wp-config.php,他们就可以完全控制数据库,并可能访问或修改网站上的所有数据。此外,攻击者还可以读取其他敏感文件,例如包含API密钥或密码的文件。由于该漏洞不需要身份验证,因此任何人都可能利用它,这使得它成为一个特别危险的威胁。该漏洞的潜在影响包括数据泄露、网站篡改、以及完全的服务器控制。
该漏洞已公开披露,并且可能存在公开的利用代码。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到CISA KEV目录中。NVD发布日期为2025-10-31。
Websites using WooCommerce Designer Pro theme versions 1.0.0 through 1.9.28 are at direct risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit the vulnerability on multiple websites hosted on the same server. WordPress installations with default configurations and weak file permissions are also at increased risk.
• wordpress / composer / npm:
grep -r "wp-content/plugins/woocommerce-designer-pro/includes/" /var/log/apache2/access.log• wordpress / composer / npm:
wp plugin list --status=inactive | grep woocommerce-designer-pro• wordpress / composer / npm:
wp plugin list | grep woocommerce-designer-prodisclosure
漏洞利用状态
EPSS
0.21% (44% 百分位)
CISA SSVC
最有效的缓解措施是立即将WooCommerce Designer Pro升级到1.9.31或更高版本。如果升级不可行,可以考虑临时禁用插件,或者限制对插件的访问。如果无法立即更新,可以尝试使用Web应用防火墙(WAF)来阻止对可能被利用的文件的访问。WAF规则应配置为阻止对wp-config.php和其他敏感文件的直接访问。此外,定期审查WordPress网站的权限和配置,确保只有授权用户才能访问敏感文件。
更新到 1.9.31 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-10897描述了WooCommerce Designer Pro WordPress插件中的一个漏洞,允许攻击者读取服务器上的任意文件,可能泄露敏感信息。
如果您正在使用WooCommerce Designer Pro 1.0.0–1.9.28版本,则您可能受到影响。请立即检查您的版本并更新。
将WooCommerce Designer Pro升级到1.9.31或更高版本。如果无法升级,请考虑临时禁用插件或使用WAF进行保护。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问WooCommerce Designer Pro官方网站或WordPress插件目录,查找有关CVE-2025-10897的公告。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。