HIGHCVE-2025-47535CVSS 8.6

WordPress Opal Woo Custom Product Variation 插件 <= 1.2.0 - 任意文件删除漏洞

Q: 什么是 CVE-2025-47535 — 路径遍历漏洞在 Opal Woo Custom Product Variation 中？

CVE-2025-47535 描述了 Opal Woo Custom Product Variation 插件中的路径遍历漏洞，允许攻击者访问服务器上的敏感文件。

Q: 我是否受到 CVE-2025-47535 在 Opal Woo Custom Product Variation 中影响？

如果您正在使用 Opal Woo Custom Product Variation 插件的版本低于 1.2.1，则可能受到此漏洞的影响。

Q: 我如何修复 CVE-2025-47535 在 Opal Woo Custom Product Variation 中？

立即将 Opal Woo Custom Product Variation 插件升级到 1.2.1 版本或更高版本。

Q: CVE-2025-47535 是否正在被积极利用？

目前尚未发现公开的利用程序，但由于路径遍历漏洞的普遍性，预计未来可能会出现。

Q: 在哪里可以找到官方 Opal Woo Custom Product Variation 的针对 CVE-2025-47535 的公告？

请访问 Opal Woo 官方网站或 WordPress 插件目录查找相关公告。

平台

wordpress

组件

opal-woo-custom-product-variation

修复版本

1.2.1

AI Confidence: highNVDEPSS 0.4%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-47535 描述了 Opal Woo Custom Product Variation 插件中的路径遍历漏洞。该漏洞允许未经授权的用户访问服务器上的敏感文件，可能导致数据泄露或系统损坏。此漏洞影响版本 0 到 1.2.0 之间的插件，建议立即升级到 1.2.1 版本以解决此问题。

影响与攻击场景

攻击者可以利用此路径遍历漏洞访问服务器文件系统中的任意文件，而无需身份验证。这可能包括读取配置文件、数据库文件或包含敏感信息的其他文件。攻击者还可以利用此漏洞修改或删除文件，从而导致服务中断或数据丢失。如果服务器运行在共享主机环境中，则此漏洞的潜在影响会更大，因为攻击者可能能够访问其他用户的网站文件。由于该插件通常用于处理产品变体信息，攻击者可能能够访问客户数据或订单信息。

利用背景

该漏洞已公开披露，且 CVSS 评分为高危。目前尚未发现公开的利用程序，但由于路径遍历漏洞的普遍性，预计未来可能会出现。建议密切关注安全社区的动态，并及时采取缓解措施。该漏洞已于 2025-05-23 公布。

哪些人处于风险中翻译中…

WordPress websites using the Opal Woo Custom Product Variation plugin, particularly those running older versions (0.0 - 1.2.0), are at risk. Shared hosting environments are especially vulnerable, as a compromise of one website can potentially affect others on the same server. Sites with weak file permissions or inadequate WAF protection are also at increased risk.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Check for file disclosure

攻击时间线

2025-05-23Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.38% (59% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件opal-woo-custom-product-variation

供应商wpopal

影响范围修复版本

0 – 1.2.01.2.1

弱点分类 (CWE)

CWE-22

时间线

已保留2025-05-07
发布日期2025-05-23
修改日期2026-04-28
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 Opal Woo Custom Product Variation 插件升级到 1.2.1 版本或更高版本。如果无法立即升级，可以尝试限制插件的访问权限，例如将其限制在特定的目录中。此外，可以配置 Web 应用防火墙 (WAF) 以阻止包含路径遍历攻击模式的请求。监控插件的日志文件，查找任何可疑活动，例如尝试访问不存在的文件或目录。如果怀疑已经受到攻击，请立即更改服务器上的所有密码。

修复方法翻译中…

Actualice el plugin Opal Woo Custom Product Variation a la última versión disponible para mitigar la vulnerabilidad de recorrido de ruta.  Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador.  Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-47535 — 路径遍历漏洞在 Opal Woo Custom Product Variation 中？