平台
wordpress
组件
hippoo
修复版本
1.7.2
CVE-2025-13339 是 Hippoo Mobile App for WooCommerce WordPress 插件中的路径遍历漏洞。该漏洞允许未经身份验证的攻击者通过 template_redirect() 函数读取服务器上的任意文件,可能导致敏感信息泄露。该漏洞影响 Hippoo Mobile App for WooCommerce 的 0.0.0 至 1.7.1 版本,已于 1.7.2 版本修复。
该路径遍历漏洞允许攻击者绕过正常的访问控制机制,直接访问服务器上的文件系统。攻击者可以利用此漏洞读取包含用户名、密码、API 密钥、数据库连接字符串等敏感信息的配置文件、源代码或其他文件。成功利用该漏洞可能导致数据泄露、权限提升,甚至完全控制服务器。攻击者可能通过构造恶意的 URL 请求来触发该漏洞,无需身份验证即可读取目标文件。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞的发现和披露日期为 2025-12-10。建议将该漏洞添加到 CISA KEV 目录中,以提高其可见性。
Websites utilizing the Hippoo Mobile App for WooCommerce plugin, particularly those running older versions (0.0.0–1.7.1), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher concentration of WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/hippoo-mobile-app-for-woocommerce/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/hippoo-mobile-app-for-woocommerce/../../../../etc/passwd' # Check for file disclosure• wordpress / composer / npm:
wp plugin list --status=active | grep 'hippoo-mobile-app-for-woocommerce'• wordpress / composer / npm:
wp plugin update hippoo-mobile-app-for-woocommercedisclosure
漏洞利用状态
EPSS
0.07% (20% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Hippoo Mobile App for WooCommerce 升级至 1.7.2 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 实施规则,阻止包含路径遍历尝试的请求,例如包含 '../' 或 '\..' 的请求。此外,限制 WordPress 插件的权限,并定期审查服务器上的文件访问权限,以减少潜在的攻击面。在升级后,请确认漏洞已修复,例如尝试访问受保护的文件,验证是否仍然可以访问。
更新到 1.7.2 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-13339 是 Hippoo Mobile App for WooCommerce WordPress 插件中的路径遍历漏洞,允许攻击者读取服务器上的任意文件。
如果您正在使用 Hippoo Mobile App for WooCommerce 的 0.0.0 至 1.7.1 版本,则可能受到此漏洞的影响。
请立即将 Hippoo Mobile App for WooCommerce 升级至 1.7.2 或更高版本。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 Hippoo Mobile App for WooCommerce 的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。