CVE-2025-3876

Nome do Software Vulnerável e Versões Afetadas Plugin SMS Alert Order Notifications – WooCommerce para WordPress versões até a 3.8.1 inclusive

Descrição O plugin SMS Alert Order Notifications – WooCommerce para WordPress está vulnerável a Escalonamento de Privilégios devido à validação insuficiente de OTP do usuário na função handleWpLoginCreateUserAction(). Isso possibilita que atacantes autenticados, com acesso de nível de Assinante ou superior, se passem por qualquer conta fornecendo seu username ou email e elevem seus privilégios aos de um administrador.

Recomendações Para versões até a 3.8.1 inclusive, considere desativar a função handleWpLoginCreateUserAction() até que um patch esteja disponível. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de exploração. Evite usar os parâmetros username e email nos endpoints da API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.