Vulnerabilidad en FunnelKit (CVE-2025-7654)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

19/08/2025

Última modificación:

19/08/2025

Descripción

Varios complementos de FunnelKit son vulnerables a la exposición de información confidencial a través del shortcode wf_get_cookie. Esto permite que atacantes autenticados, con acceso de colaborador o superior, extraigan datos confidenciales, incluyendo cookies de autenticación de otros usuarios del sitio, lo que podría permitir la escalada de privilegios. Tenga en cuenta que tanto FunnelKit (Funnel Builder para WooCommerce Checkout) como FunnelKit Automations (Automatización de email marketing y CRM para WordPress y WooCommerce) se ven afectados por esto.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vulnerabilidad en FunnelKit (CVE-2025-7654)

Descripción

Impacto

Referencias a soluciones, herramientas e información