CVE-2025-14755

Nome do Software Vulnerável e Versões Afetadas Cost Calculator Builder versões anteriores a 4.0.2

Descrição O plugin é suscetível a Manipulação de Preço Não Autenticada e Referência Direta a Objeto Insegura (IDOR), o que ocorre quando usado em combinação com o Cost Calculator Builder PRO. O problema surge porque a ação AJAX 'ccb woocommerce payment' é registrada via wp ajax nopriv, permitindo acesso não autenticado. Além disso, a função renderWooCommercePayment() passa dados controlados pelo usuário para CCBWooCheckout::init() sem realizar verificações de autorização. Isso permite que atacantes não autenticados adicionem produtos do WooCommerce ao carrinho com preços controlados pelo atacante.

Recomendações Atualize para uma versão posterior à 4.0.1. Como medida paliativa temporária, restrinja o acesso à ação AJAX 'ccb woocommerce payment' apenas a usuários autenticados.