Plataforma
wordpress
Componente
easycommerce
Corregido en
1.8.3
La vulnerabilidad CVE-2025-11457 es una elevación de privilegios que afecta al plugin EasyCommerce – AI-Powered WordPress Ecommerce Plugin para WordPress. Esta falla permite a atacantes no autenticados obtener acceso de administrador al sitio web vulnerable. El problema se encuentra en las versiones desde 0.9.0-beta2 hasta 1.8.2, y se ha solucionado en la versión 1.8.3.
Esta vulnerabilidad representa un riesgo crítico para los sitios web que utilizan el plugin EasyCommerce. Un atacante puede explotar la falta de restricciones en el endpoint /easycommerce/v1/orders para registrarse en el sitio con privilegios de administrador. Esto les permitiría tomar control total del sitio, incluyendo la modificación de contenido, la instalación de malware, el robo de datos de clientes y la interrupción del servicio. La facilidad de explotación, combinada con la alta severidad, convierte a esta vulnerabilidad en un objetivo atractivo para actores maliciosos.
Esta vulnerabilidad ha sido publicada públicamente el 11 de noviembre de 2025. No se ha añadido a la lista KEV de CISA, pero la alta puntuación CVSS indica una alta probabilidad de explotación. La falta de autenticación en el endpoint de registro facilita la explotación, lo que podría llevar a campañas de ataque dirigidas a sitios WordPress que utilizan este plugin.
WordPress websites utilizing the EasyCommerce plugin, particularly those running versions 0.9.0-beta2 through 1.8.2, are at significant risk. Shared hosting environments where plugin updates are not consistently managed are especially vulnerable, as are sites with limited security configurations.
• wordpress / composer / npm:
wp plugin list | grep easycommerce• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status easycommerce• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/easycommerce/v1/orders• generic web: Check WordPress plugin directory for updates and security advisories.
disclosure
Estado del Exploit
EPSS
0.19% (40% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-11457 es actualizar el plugin EasyCommerce a la versión 1.8.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear el acceso al endpoint /easycommerce/v1/orders para usuarios no autenticados. Verifique después de la actualización que el endpoint /easycommerce/v1/orders requiere autenticación para la selección de roles.
Actualizar a la versión 1.8.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-11457 is a critical vulnerability in the EasyCommerce WordPress plugin allowing unauthenticated attackers to gain administrator access. It affects versions 0.9.0-beta2 to 1.8.2 due to improper role restrictions.
You are affected if your WordPress site uses the EasyCommerce plugin and is running version 0.9.0-beta2 through 1.8.2. Check your plugin version immediately.
Upgrade the EasyCommerce plugin to version 1.8.3 or later. If immediate upgrade is not possible, consider temporary workarounds like restricting access to the /easycommerce/v1/orders endpoint.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a high probability of exploitation if left unpatched.
Refer to the EasyCommerce plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.