平台
wordpress
组件
counter-visitor-for-woocommerce
修复版本
1.3.7
CVE-2025-7359 是 WooCommerce Counter 插件中的一个任意文件访问漏洞。由于 wcvisitorgetblock 函数中的文件路径验证不足,未经身份验证的攻击者可以删除服务器上的任意文件。此漏洞影响 WooCommerce Counter 插件的 1.0.0 至 1.3.6 版本。建议尽快升级插件或采取缓解措施以降低风险。
该漏洞允许攻击者删除服务器上的任意文件,这可能导致严重的数据丢失或拒绝服务。攻击者无需身份验证即可利用此漏洞,这意味着攻击面非常广。由于攻击者可以删除任意文件,因此可能影响网站的核心文件、数据库文件或其他敏感数据。如果攻击者能够删除关键文件,可能会导致网站完全不可用,并可能导致敏感信息泄露。此漏洞的潜在影响范围取决于服务器上存储的数据类型和数量。
该漏洞已公开披露,并且可能存在公开的利用程序。目前尚无已知的活跃利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。
Websites using the Counter live visitors for WooCommerce plugin, particularly those running older, unpatched versions (1.0.0–1.3.6), are at risk. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit this vulnerability to impact multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r "wcvisitor_get_block" /var/www/html/wp-content/plugins/counter-live-visitors-for-woocommerce/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/counter-live-visitors-for-woocommerce/wcvisitor_get_block?file=../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
漏洞利用状态
EPSS
0.71% (72% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 WooCommerce Counter 插件升级到修复版本。如果无法立即升级,可以考虑以下临时缓解措施:限制插件访问的文件权限,确保插件只能访问其所需的文件。实施 Web 应用防火墙 (WAF) 规则,以阻止对 wcvisitorgetblock 函数的恶意请求。监控服务器上的文件系统活动,以检测任何未经授权的文件删除尝试。如果怀疑已发生入侵,请立即备份服务器数据并进行彻底的安全审计。
Actualice el plugin Counter live visitors for WooCommerce a una versión corregida. La vulnerabilidad ha sido solucionada en versiones posteriores a la 1.3.6. Verifique la página del plugin en WordPress.org para obtener la última versión disponible.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-7359 是 WooCommerce Counter 插件中的一个漏洞,允许未经身份验证的攻击者删除服务器上的任意文件。
如果您正在使用 WooCommerce Counter 插件的 1.0.0–1.3.6 版本,则您可能受到此漏洞的影响。
立即将 WooCommerce Counter 插件升级到修复版本。
目前尚无已知的活跃利用活动,但建议尽快采取缓解措施。
请查阅 WooCommerce 官方网站或 WordPress 插件目录以获取相关信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。