Vulnerabilidad en Cost Calculator Builder de stylemix (CVE-2025-14757)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/01/2026
Última modificación:
23/01/2026
Descripción
El plugin Cost Calculator Builder para WordPress es vulnerable a la Omisión de Estado de Pago No Autenticado en todas las versiones hasta la 3.6.9, inclusive, solo cuando se usa en combinación con Cost Calculator Builder PRO. Esto se debe a que la acción AJAX complete_payment se registra a través de wp_ajax_nopriv, haciéndola accesible a usuarios no autenticados, y la función complete() solo verifica un nonce sin comprobar las capacidades del usuario o la propiedad del pedido. Dado que los nonces están expuestos a todos los visitantes a través de window.ccb_nonces en el código fuente de la página, cualquier atacante no autenticado puede marcar el estado de pago de cualquier pedido como 'completado' sin un pago real.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:stylemixthemes:cost_calculator_builder:*:*:*:*:free:wordpress:*:* | 3.6.10 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/cost-calculator-builder/tags/3.6.7/includes/classes/CCBAjaxAction.php#L98
- https://plugins.trac.wordpress.org/browser/cost-calculator-builder/tags/3.6.7/includes/classes/CCBOrderController.php#L408
- https://plugins.trac.wordpress.org/changeset/3437516/cost-calculator-builder/trunk/includes/classes/CCBOrderController.php?old=3426823&old_path=cost-calculator-builder%2Ftrunk%2Fincludes%2Fclasses%2FCCBOrderController.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/b8415e5f-17a4-425c-ac28-5dd886d1bcf1?source=cve