CVE-2025-1311

Nome do Software Vulnerável e Versões Afetadas Plugin WooCommerce Multivendor Marketplace – REST API para WordPress, versões até 1.6.2 (inclusive)

Descrição A vulnerabilidade permite que invasores autenticados com acesso de nível de Assinante (Subscriber) ou superior extraiam informações sensíveis do banco de dados devido ao escape insuficiente no parâmetro id fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente na função update delivery status().

Recomendações Para versões até 1.6.2 (inclusive), atualize para uma versão que corrija a vulnerabilidade de injeção de SQL na função update delivery status(). Como solução temporária, considere restringir o acesso à função update delivery status() até que um patch esteja disponível. Evite usar o parâmetro id no endpoint de API afetado até que o problema seja resolvido.