PT-2026-55501 · Woocommerce · Printcart Web To Print Product Designer

Tjoffe

·

Publicado

2026-07-03

·

Atualizado

2026-07-03

·

CVE-2026-9725

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Printcart Web to Print Product Designer for WooCommerce versões anteriores a 2.5.3
Descrição A validação insuficiente de caminho na função store design data() permite que invasores não autenticados excluam arquivos arbitrários no servidor. O problema ocorre porque o parâmetro POST nbd item key é sanitizado usando sanitize text field(), que não remove sequências de traversal de caminho. Esse caminho manipulado é então passado para Nbdesigner IO::delete folder() e para a função rename() do PHP. Invasores podem obter o nonce necessário para a ação AJAX nbd save customer design através do endpoint nbd check use logged in. Essa falha pode levar a uma negação de serviço destrutiva, assumir o controle do site ou execução remota de código ao remover controles de segurança críticos ou influenciar arquivos executáveis.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-9725

Produtos afetados

Printcart Web To Print Product Designer