CVE-2025-14509

Nome do Software Vulnerável e Versões Afetadas Plugin Lucky Wheel for WooCommerce – Spin a Sale para WordPress, versões até e incluindo a 1.1.13

Descrição O software contém uma vulnerabilidade de Injeção de Código PHP decorrente do uso de eval() para processar entradas fornecidas pelo usuário na configuração 'Conditional Tags', sem validação ou sanitização adequadas. Isso permite que atacantes autenticados com acesso de nível de Administrador ou superior executem código PHP arbitrário no servidor. Em instalações multisite do WordPress, Administradores do Site podem executar código arbitrário, o que não é um comportamento esperado, visto que a edição de arquivos de plugin/tema é tipicamente restrita para usuários que não sejam Super Administradores.

Recomendações Atualize o plugin Lucky Wheel for WooCommerce – Spin a Sale para WordPress para uma versão posterior à 1.1.13.