WooCommerce Purchase Orders <= 1.0.2 - 认证 (订阅者+) 任意文件删除

此漏洞的潜在影响非常严重。攻击者可以通过删除关键文件，例如 wp-config.php，来获得对 WordPress 站点的完全控制权。删除其他重要文件也可能导致服务中断、数据泄露或恶意代码注入。攻击者可以利用此漏洞执行任意代码，从而窃取敏感信息、修改网站内容或发起进一步的攻击。由于该漏洞需要认证访问权限，但攻击者只需要 Subscriber 权限，因此潜在攻击面相对较广。

WordPress websites utilizing the Purchase Orders for WooCommerce plugin, particularly those running versions 1.0.0 through 1.0.2, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak password policies or compromised user accounts are also more susceptible to exploitation.

• wordpress / composer / npm:

grep -r "delete_file\(" /var/www/html/wp-content/plugins/purchase-orders-for-woocommerce/*

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/purchase-orders-for-woocommerce/delete.php?file=/etc/passwd

• wordpress / composer / npm:

wp plugin list --status=inactive | grep 'purchase-orders-for-woocommerce'

1. 2025-08-12Disclosure

   disclosure

1. 已保留2025-05-30
2. 发布日期2025-08-12
3. 修改日期2026-04-08
4. EPSS 更新日期2026-03-23

为了缓解 CVE-2025-5391 漏洞，首要措施是立即升级 WooCommerce 采购订单插件到修复版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 WordPress 用户的权限，确保没有低权限用户（如 Subscriber）具有文件删除权限。实施严格的文件访问控制，限制对敏感文件的访问。使用 Web 应用防火墙 (WAF) 规则来阻止可疑的文件删除请求。监控服务器日志，查找任何异常的文件删除活动。