CVE-2025-2266

CRÍTIC (9,8)

CVSS3: 0,0

El complement Checkout Mestres do WP per a WooCommerce per a WordPress és vulnerable a la modificació no autoritzada de dades que pot provocar una escalada de privilegis a causa d’una comprovació de capacitat que falta a la funció cwmpUpdateOptions() a les versions de la 8.6.5 a la 8.7.5. Això fa possible que els atacants no autenticats actualitzin opcions arbitràries al lloc de WordPress. Això es pot aprofitar per actualitzar el rol predeterminat per al registre a l’administrador i habilitar el registre d’usuari perquè els atacants tinguin accés de l’usuari administratiu a un lloc vulnerable.

Sistemes Afectats

• mestresdowp Checkout Mestres do WP for WooCommerce – 8.6.5

Remediació
No hi ha cap recurs disponible a partir del 29 de març del 2025.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/9834fd5b-8445-4c6f-95f9-f0df785c65f8?source=cve
• https://wordpress.org/plugins/checkout-mestres-wp/
• https://plugins.trac.wordpress.org/browser/checkout-mestres-wp/trunk/backend/core/base/ajax.php#L31