Fuente base de datos: Wordfence Intelligence

Product Import Export for WooCommerce <= 2.5.0 - Authenticated (Administrator+) Server-Side Request Forgery via validate_file Function

PLUGIN HIGH CVE-2025-1912

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Product Import Export for WooCommerce' en versiones hasta la 2.5.0, que permite la ejecución remota de código a través de una vulnerabilidad de tipo Server-Side Request Forgery (SSRF). Esta situación puede ser aprovechada por administradores malintencionados para comprometer el servidor.

Contexto técnico

La vulnerabilidad se origina en la función 'validate_file', que no valida adecuadamente las solicitudes internas. Esto permite a un atacante autenticado manipular las solicitudes del servidor, lo que podría llevar a la ejecución de comandos no autorizados.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que permite a un atacante con privilegios de administrador ejecutar código en el servidor, lo que podría resultar en la pérdida de datos, compromisos de seguridad y daños a la reputación del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas a través de la función vulnerable, lo que les permite ejecutar código arbitrario en el servidor.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 2.5.1 o superior. Además, se sugiere revisar las configuraciones de seguridad del servidor y limitar los privilegios de los usuarios administradores.

Señales de detección

Señales de riesgo incluyen registros de actividad inusual en el servidor, intentos de acceso no autorizados y cambios inesperados en los archivos del sistema.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.5.1 del plugin 'Product Import Export for WooCommerce'.

Vulnerabilidades relacionadas

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Authenticated (Admin+) PHP Object Injection via form_data Parameter

LOW PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Deletion via admin_log_page Function

MEDIUM PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Read via download_file Function

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.4.1 - Authenticated(Shop Manager+) Arbitrary File Upload

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.3.7 - Authenticated(Shop Manager+) Arbitrary File Upload via upload_import_file

MEDIUM PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 1.7.4 - Missing Authorization to CSV Import

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto