CVE-2018-25325 in WooCommerce CSV-Importer信息

摘要

由 VulDB • 2026-05-21

WooCommerce CSV Importer 3.3.6 存在一个路径遍历漏洞，允许任何已注册用户通过向 delete_export_file AJAX 操作提交未转义的文件名来删除任意文件。攻击者可以构造包含目录遍历序列的 POST 请求，在 filename 参数中指定目标，从而删除导出目录之外的敏感文件（如 wp-config.php）。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

VulnCheck

预定

2026-05-17

披露

2026-05-17

管理

已接受

条目

VDB-364415

CPE

准备好

CWE

CWE-22 (已确认)

利用

下载

CVSS

7.5 (CNA)

EPSS

0.00381

KEV

否

活动

非常低

部门

Transportation, Telecommunication, ...

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2018-25325
NVD	https://nvd.nist.gov/vuln/detail/CVE-2018-25325
CVE Details	https://www.cvedetails.com/cve/CVE-2018-25325/

◂ 上一步一览下一步 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!