Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Checkout Mestres do WP para WooCommerce para WordPress (CVE-2025-2266)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/03/2025
Última modificación:
01/04/2025

Descripción

El complemento Checkout Mestres do WP para WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos, lo que puede provocar una escalada de privilegios debido a la falta de comprobación de la función cwmpUpdateOptions() en las versiones 8.6.5 a 8.7.5. Esto permite que atacantes no autenticados actualicen opciones arbitrarias en el sitio de WordPress. Esto puede aprovecharse para actualizar el rol predeterminado de registro a administrador y habilitar el registro de usuarios para que los atacantes obtengan acceso administrativo a un sitio vulnerable.