PT-2025-47282 · WordPress · Wmodes – Catalog Mode
Numex
·
Publicado
2025-11-18
·
Atualizado
2025-11-18
·
CVE-2025-12639
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin wModes – Catalog Mode, Product Pricing, Enquiry Forms & Promotions para WordPress, versões até e incluindo a 1.2.2
Descrição
O plugin não verifica adequadamente a autorização do usuário ao acessar informações sensíveis por meio de um endpoint AJAX. Isso permite que invasores autenticados com acesso de nível de assinante ou superior extraiam dados sensíveis. Esses dados incluem e-mails de usuários, nomes de usuário, funções, capacidades e dados do WooCommerce, como produtos e métodos de pagamento. O endpoint vulnerável permite acesso não autorizado a essas informações.
Recomendações
Atualize o plugin wModes – Catalog Mode, Product Pricing, Enquiry Forms & Promotions para WordPress para uma versão superior à 1.2.2.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wmodes – Catalog Mode