平台
wordpress
组件
user-registration-plugin-for-woocommerce
修复版本
2.1.3
CVE-2025-60207 is an Arbitrary File Access vulnerability affecting the Addify Custom User Registration Fields for WooCommerce plugin. This flaw allows attackers to upload files of any type, including malicious web shells, to the web server. Versions of the plugin from 0 through 2.1.2 are vulnerable. A patch is available in version 2.1.3.
CVE-2025-60207 漏洞存在于 'Custom User Registration Fields for WooCommerce' 插件中,允许攻击者将危险文件,包括 Web Shell,上传到 Web 服务器。这可能导致网站完全被接管、窃取客户敏感数据、网站篡改,甚至利用服务器发起对其他系统的攻击。该问题的严重程度评分为 CVSS 10.0,表明这是一个需要立即关注的严重漏洞。受影响的版本范围从初始版本到 2.1.2(含)。利用相对容易,因为上传恶意文件不需要身份验证。该插件广泛用于自定义 WooCommerce 商店中的用户注册表单,从而扩大了攻击面和潜在影响。
攻击者可以通过用户注册表单上传恶意的 PHP 文件(Web Shell)来利用此漏洞。文件上传后,攻击者可以通过 Web 浏览器访问此 Web Shell,从而能够在 PHP 进程运行的用户权限下在 Web 服务器上执行任意命令。这可能包括读取、修改或删除文件、执行操作系统命令以及安装恶意软件。由于缺乏适当的文件类型验证,攻击者可以绕过标准保护并上传通常会被阻止的文件。
漏洞利用状态
EPSS
0.08% (24% 百分位)
CISA SSVC
CVSS 向量
立即采取的措施是将 'Custom User Registration Fields for WooCommerce' 插件更新到 2.1.3 或更高版本。此版本通过实施更严格的上传允许的文件类型验证来解决漏洞。同时,作为预防措施,如果不是绝对必要的,请考虑暂时禁用该插件。此外,检查服务器日志是否存在可疑活动(例如,尝试上传未知文件)非常重要。实施 Web 应用程序防火墙 (WAF) 可以帮助检测和阻止基于恶意文件上传的攻击。最后,请确保您的 Web 服务器已配置最新的安全更新,并且具有强大的安全策略。
目前没有已知的补丁。请仔细审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
Web Shell 是一种通常为 PHP 的脚本,允许攻击者通过 Web 浏览器在 Web 服务器上执行命令。
检查服务器日志是否存在可疑活动,例如尝试上传未知文件或在上传目录中存在未知 PHP 文件。
立即将网站从互联网断开连接,更改所有密码(包括数据库密码),并进行全面的安全审计。
有一些安全扫描工具可以帮助检测网站上的 Web Shell。考虑使用漏洞扫描器。
保持 WordPress、WooCommerce 和所有插件更新到最新版本,使用强密码,实施 Web 应用程序防火墙 (WAF),并定期备份您的网站。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。