HIGHCVE-2025-39568CVSS 7.5

WordPress StoreContrl Woocommerce 插件 <= 4.1.3 - 任意文件下载漏洞

Q: 什么是CVE-2025-39568 — 路径遍历漏洞在StoreContrl Woocommerce中？

CVE-2025-39568描述了StoreContrl Woocommerce插件中的路径遍历漏洞，允许攻击者访问服务器上的任意文件。

Q: 我是否受到CVE-2025-39568在StoreContrl Woocommerce中影响？

如果您正在使用StoreContrl Woocommerce的版本在0.0.0到4.1.3之间，则您可能受到影响。请立即升级。

Q: 我如何修复CVE-2025-39568在StoreContrl Woocommerce中？

升级StoreContrl Woocommerce插件到4.1.4版本或更高版本。

Q: CVE-2025-39568是否正在被积极利用？

目前尚无关于该漏洞被积极利用的公开报告，但由于其易于利用，建议尽快采取缓解措施。

Q: 在哪里可以找到StoreContrl Woocommerce官方针对CVE-2025-39568的公告？

请访问Arture B.V.的官方网站或StoreContrl Woocommerce插件的官方文档，查找有关此漏洞的公告。

平台

wordpress

组件

storecontrl-wp-connection

修复版本

4.1.4

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-39568描述了Arture B.V. StoreContrl Woocommerce插件中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求访问受限制目录之外的文件，可能导致敏感信息泄露。此漏洞影响StoreContrl Woocommerce的版本从0.0.0到4.1.3。已发布补丁版本4.1.4。

影响与攻击场景

攻击者可以利用此路径遍历漏洞访问服务器上的任意文件，只要他们能够构造有效的请求。这可能包括读取配置文件、源代码、数据库凭据或其他敏感数据。如果攻击者能够访问数据库凭据，他们可能能够进一步访问数据库并窃取或修改数据。由于该漏洞允许访问服务器文件系统，因此可能导致严重的机密性泄露和潜在的系统破坏。攻击者可能利用此漏洞进行横向移动，如果他们能够访问其他系统或服务，则可能进一步扩大攻击范围。

利用背景

该漏洞已公开披露，存在公开的PoC。目前尚无关于该漏洞被积极利用的公开报告，但由于其易于利用，建议尽快采取缓解措施。该漏洞已添加到CISA KEV目录中，表明其具有中等概率被利用。请密切关注安全社区的更新。

哪些人处于风险中翻译中…

WordPress websites using the StoreContrl Woocommerce plugin, particularly those running older versions (0.0.0–4.1.3), are at risk. Shared hosting environments where WordPress installations have limited access controls are especially vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other websites on the same server.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/storecontrl-wp-connection/

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/storecontrl-wp-connection/../../../../etc/passwd | head -n 1

攻击时间线

2025-04-17Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.50% (66% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件storecontrl-wp-connection

供应商Arture B.V.

影响范围修复版本

0.0.0 – 4.1.34.1.4

弱点分类 (CWE)

CWE-22

时间线

已保留2025-04-16
发布日期2025-04-17
修改日期2026-04-28
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将StoreContrl Woocommerce插件升级到4.1.4版本或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：使用Web应用防火墙（WAF）来阻止恶意请求，配置WAF规则以过滤包含“..”或“/..”的请求。限制插件的访问权限，只允许其访问必要的文件和目录。监控插件的日志文件，查找可疑活动。如果无法升级，请确保服务器上的文件权限设置正确，以防止未经授权的访问。

修复方法翻译中…

Actualice el plugin StoreContrl Woocommerce a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio.  Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización.  Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2025-39568 — 路径遍历漏洞在StoreContrl Woocommerce中？