CVE-2025-13156

Nome do Software Vulnerável e Versões Afetadas Vitepos – Ponto de Venda (POS) para WooCommerce versões até e incluindo a 3.3.0

Descrição O plugin Vitepos – Ponto de Venda (POS) para WooCommerce para WordPress é suscetível a uploads de arquivos arbitrários devido à falta de validação de tipo de arquivo dentro da função insert media attachment(). Especificamente, a função save update category img() aceita tipos de arquivos fornecidos pelo usuário sem validação ao processar imagens de categoria. Isso permite que invasores autenticados com acesso de nível de assinante ou superior façam upload de arquivos arbitrários para o servidor afetado, potencialmente levando à execução remota de código. A vulnerabilidade afeta sistemas de ponto de venda que manipulam dados de pagamento, tornando o upload de arquivos que leva à execução remota de código um problema crítico.

Recomendações Versões até e incluindo a 3.3.0 devem ser atualizadas para a versão 3.3.1 ou posterior.