Fuente base de datos: Wordfence Intelligence

Product Import Export for WooCommerce <= 2.5.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Deletion via admin_log_page Function

PLUGIN LOW CVE-2025-1911

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo 'Directory Traversal' en el plugin 'Product Import Export for WooCommerce' hasta la versión 2.5.0, que permite la eliminación arbitraria de archivos por parte de administradores autenticados. Esta vulnerabilidad, catalogada con una baja severidad, puede comprometer la integridad del sistema.

Contexto técnico

El fallo se origina en la función 'admin_log_page', donde una validación insuficiente de las rutas de acceso permite a un administrador autenticado manipular la estructura de directorios y acceder a archivos no autorizados. Esto representa un vector de ataque que afecta a la gestión de archivos dentro del entorno de WooCommerce.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la eliminación no autorizada de archivos críticos, afectando la disponibilidad del servicio y potencialmente exponiendo datos sensibles. Aunque la severidad se considera baja, el impacto en la confianza del cliente y la reputación de la tienda puede ser significativo.

Vector de explotación

Los atacantes podrían explotar esta vulnerabilidad enviando solicitudes manipuladas a la función vulnerable, permitiendo así la eliminación de archivos específicos en el servidor, siempre que cuenten con credenciales de administrador.

Mitigación recomendada

Actualizar el plugin 'Product Import Export for WooCommerce' a la versión 2.5.1 o superior. Además, se recomienda revisar los registros de acceso para detectar actividades sospechosas y aplicar medidas de seguridad adicionales en la gestión de permisos de usuario.

Señales de detección

Señales de riesgo incluyen intentos de acceso a archivos fuera del directorio previsto y registros de eliminación de archivos no autorizados. Monitorizar los logs de actividad del plugin puede ayudar a identificar posibles intentos de explotación.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.5.1 del plugin 'Product Import Export for WooCommerce'. Las instalaciones que utilizan estas versiones son vulnerables a la explotación.

Vulnerabilidades relacionadas

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Authenticated (Admin+) PHP Object Injection via form_data Parameter

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Authenticated (Administrator+) Server-Side Request Forgery via validate_file Function

MEDIUM PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Read via download_file Function

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.4.1 - Authenticated(Shop Manager+) Arbitrary File Upload

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.3.7 - Authenticated(Shop Manager+) Arbitrary File Upload via upload_import_file

MEDIUM PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 1.7.4 - Missing Authorization to CSV Import

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto