Fuente base de datos: Wordfence Intelligence

Product Import Export for WooCommerce <= 2.5.0 - Authenticated (Admin+) PHP Object Injection via form_data Parameter

PLUGIN HIGH CVE-2025-1913

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Product Import Export for WooCommerce' en versiones hasta 2.5.0, que permite la inyección de objetos PHP a través del parámetro 'form_data'. Esta falla puede ser explotada por administradores autenticados, lo que aumenta su gravedad.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja el parámetro 'form_data', permitiendo la inyección de objetos PHP. Esto puede dar lugar a la ejecución remota de código (RCE) si un atacante logra manipular este parámetro adecuadamente.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer gravemente la seguridad del sitio, permitiendo a un atacante ejecutar código malicioso en el servidor. Esto podría resultar en la pérdida de datos, alteración del contenido del sitio y acceso no autorizado a información sensible.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad mediante la autenticación como administradores y manipulando las solicitudes que envían al servidor, específicamente alterando el parámetro 'form_data'.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin 'Product Import Export for WooCommerce' a la versión 2.5.1 o superior. Además, se sugiere revisar los permisos de los usuarios y aplicar prácticas de seguridad adicionales como la validación de datos de entrada.

Señales de detección

Señales de posible explotación incluyen comportamientos inusuales en los registros de acceso, intentos de manipulación de parámetros en formularios y actividad sospechosa por parte de cuentas de administrador.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.5.1. Se recomienda a los usuarios de este plugin verificar su versión y proceder con la actualización.

Vulnerabilidades relacionadas

LOW PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Deletion via admin_log_page Function

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Authenticated (Administrator+) Server-Side Request Forgery via validate_file Function

MEDIUM PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Read via download_file Function

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.4.1 - Authenticated(Shop Manager+) Arbitrary File Upload

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.3.7 - Authenticated(Shop Manager+) Arbitrary File Upload via upload_import_file

MEDIUM PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 1.7.4 - Missing Authorization to CSV Import

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto