平台
wordpress
组件
extendons-eo-wooimport-export
修复版本
2.0.7
CVE-2025-54029 描述了 WooCommerce csv import export 插件中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求访问系统中的任意文件,可能导致敏感信息泄露或系统被篡改。该漏洞影响 WooCommerce csv import export 插件的 0.0.0 至 2.0.6 版本。已发布补丁版本 2.0.7。
攻击者可以利用此路径遍历漏洞访问服务器上的任意文件,包括配置文件、源代码和其他敏感数据。如果服务器上存在其他易受攻击的应用或服务,攻击者可能利用此漏洞进行横向移动,扩大攻击范围。例如,攻击者可能读取数据库配置文件,获取数据库凭据,进而访问数据库中的敏感信息。此漏洞的潜在影响包括数据泄露、系统被篡改、以及潜在的供应链攻击。
该漏洞已公开披露,且存在潜在的利用风险。目前尚无已知的公开利用程序,但由于路径遍历漏洞的普遍性,攻击者可能很快会开发出利用程序。建议密切关注安全社区的动态,并及时采取缓解措施。CISA 尚未将其添加到 KEV 目录。
WordPress websites using the WooCommerce CSV Import Export plugin, particularly those running older versions (0.0.0–2.0.6), are at risk. Shared hosting environments where multiple WordPress installations share the same server are also at increased risk, as a compromise of one site could potentially expose files on other sites.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/extendons-eo-wooimport-export/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/extendons-eo-wooimport-export/../../../../etc/passwd' # Check for file accessdisclosure
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级 WooCommerce csv import export 插件至 2.0.7 或更高版本。如果无法立即升级,可以尝试限制插件的访问权限,例如将其限制在特定的目录内。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止包含恶意路径字符的请求。监控插件的日志文件,查找可疑的访问尝试,并及时采取措施。
Actualice el plugin WooCommerce csv import export a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-54029 是 WooCommerce csv import export 插件中的一个路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用 WooCommerce csv import export 插件的 0.0.0 至 2.0.6 版本,则可能受到此漏洞的影响。
请立即升级 WooCommerce csv import export 插件至 2.0.7 或更高版本。
目前尚无已知的公开利用程序,但由于路径遍历漏洞的普遍性,存在潜在的利用风险。
请查阅 WooCommerce 官方安全公告或 WordPress 插件目录以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。