CVE-2025-3889

Nome do Software Vulnerável e Versões Afetadas Versões do plugin WordPress Simple Shopping Cart até a 5.1.3 (inclusive)

Descrição O problema permite que atacantes não autenticados manipulem a quantidade de um produto para um número negativo, subtraindo efetivamente o custo do produto do custo total do pedido. Isso é possível devido à falta de validação em uma chave controlada pelo usuário na função process payment data. O ataque é limitado ao modo de Checkout Manual, pois processadores de pagamento como PayPal e Stripe não processam pagamentos para quantidades negativas.

Recomendações Para as versões do plugin WordPress Simple Shopping Cart até a 5.1.3 (inclusive), considere desativar o modo de Checkout Manual até que uma correção esteja disponível para prevenir a exploração. Além disso, restrinja o acesso à função process payment data para minimizar o risco de manipulação de quantidade negativa.