PT-2025-47778 · WordPress+1 · Mstoreapp Mobile App Wordpress Plugin+1

Khaled Alenazi

Publicado

2025-11-21

Atualizado

2025-11-21

CVE-2025-11127

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas Plugin WordPress Mstoreapp Mobile App versões até a 2.08 Mstoreapp Mobile Multivendor versões até a 9.0.1

Descrição Os plugins não validam adequadamente a identidade do usuário quando uma ação AJAX é utilizada. Isso permite que usuários não autenticados obtenham uma sessão válida para qualquer usuário, caso conheçam o endereço de e-mail do usuário. O endpoint de API afetado não é especificado. O parâmetro vulnerável é o endereço de e-mail usado para recuperar sessões de usuário.

Recomendações Atualize o plugin WordPress Mstoreapp Mobile App para uma versão superior à 2.08. Atualize o Mstoreapp Mobile Multivendor para uma versão superior à 9.0.1.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

CVE-2025-11127

Produtos afetados

Mstoreapp Mobile App Wordpress Plugin

Mstoreapp Mobile Multivendor

PT-2025-47778 · WordPress+1 · Mstoreapp Mobile App Wordpress Plugin+1

CVE-2025-11127

Identificadores relacionados

Produtos afetados

Referências · 7