Vulnerabilidad en Printful Integration for WooCommerce (CVE-2025-12375)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
19/02/2026
Última modificación:
15/04/2026
Descripción
El plugin Printful Integration para WooCommerce para WordPress es vulnerable a falsificación de petición del lado del servidor en todas las versiones hasta la, y incluida, 2.2.11 a través del endpoint de la API REST del gráfico de tallas avanzado. Esto se debe a la validación insuficiente de las URL proporcionadas por el usuario antes de pasarlas a la función download_url(). Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, realicen peticiones web a ubicaciones arbitrarias originadas desde la aplicación web, que pueden utilizarse para consultar y modificar información de servicios internos.
Impacto
Puntuación base 3.x
6.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/printful-shipping-for-woocommerce/tags/2.2.11/includes/class-printful-rest-api-controller.php#L259
- https://plugins.trac.wordpress.org/browser/printful-shipping-for-woocommerce/tags/2.2.11/includes/class-printful-rest-api-controller.php#L67
- https://plugins.trac.wordpress.org/browser/printful-shipping-for-woocommerce/tags/2.2.11/includes/class-printful-size-guide.php#L170
- https://plugins.trac.wordpress.org/browser/printful-shipping-for-woocommerce/tags/2.2.11/includes/class-printful-size-guide.php#L210
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3439592%40printful-shipping-for-woocommerce&new=3439592%40printful-shipping-for-woocommerce&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/4cb410aa-3941-4e19-8de4-622a94766ee8?source=cve