Vulnerabilidad en Checkout Field Manager (Checkout Manager) for WooCommerce de quadlayers (CVE-2025-13930)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/02/2026
Última modificación:
19/02/2026
Descripción
El plugin Checkout Field Manager (Checkout Manager) para WooCommerce para WordPress es vulnerable a un bypass de autorización en versiones hasta la 7.8.5, inclusive. Esto se debe a que el plugin no verifica correctamente que un usuario está autorizado para eliminar un archivo adjunto, combinado con una validación defectuosa de la propiedad de pedidos de invitados. Esto hace posible que atacantes no autenticados eliminen archivos adjuntos asociados con pedidos de invitados utilizando solo el nonce wooccm_upload disponible públicamente y el ID del archivo adjunto.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/woocommerce-checkout-manager/tags/7.8.1/lib/class-upload.php#L114
- https://plugins.trac.wordpress.org/browser/woocommerce-checkout-manager/tags/7.8.1/lib/class-upload.php#L75
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3440979%40woocommerce-checkout-manager&new=3440979%40woocommerce-checkout-manager
- https://www.wordfence.com/threat-intel/vulnerabilities/id/33486414-6878-4b16-ae2d-00ec52fc2213?source=cve