PT-2025-19929 · WordPress · Woocommerce Multiple Addresses
Cheng Liu
·
Publicado
2025-05-07
·
Atualizado
2025-05-12
·
CVE-2025-4335
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin WooCommerce Multiple Addresses para WordPress, versões até e incluindo a 1.0.7.1
Descrição
O problema ocorre devido a restrições insuficientes nos metadados do usuário que podem ser atualizados através da função
save multiple shipping addresses(). Isso permite que atacantes autenticados, com acesso de nível de Assinante ou superior, escalem seus privilégios para os de um administrador.Recomendações
Para versões até e incluindo a 1.0.7.1, considere desativar a função
save multiple shipping addresses() até que um patch esteja disponível para prevenir o escalonamento de privilégios.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.LPE
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Woocommerce Multiple Addresses