PT-2025-32616 · WordPress · Woocommerce Purchase Orders
Alexander Chikaylo
·
Publicado
2025-08-12
·
Atualizado
2025-08-17
·
CVE-2025-5391
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas:
Plugin WooCommerce Purchase Orders para WordPress, versões até e incluindo a 1.0.2
Descrição:
O plugin WooCommerce Purchase Orders para WordPress é vulnerável à exclusão arbitrária de arquivos devido à validação inadequada do caminho do arquivo dentro da função
delete file(). Atacantes autenticados com acesso de nível de Assinante ou superior podem explorar essa falha para remover arquivos arbitrários no servidor. A exclusão bem-sucedida de arquivos críticos, como wp-config.php, poderia levar à execução remota de código.Recomendações:
Atualize o plugin WooCommerce Purchase Orders para uma versão posterior à 1.0.2.
Correção
RCE
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Woocommerce Purchase Orders