Plataforma
wordpress
Componente
mstore-api
Corregido en
4.17.3
El plugin MStore API – Create Native Android & iOS Apps On The Cloud para WordPress presenta una vulnerabilidad de escalada de privilegios en todas las versiones hasta la 4.17.4. Esta debilidad se debe a la falta de restricciones en el rol al registrar usuarios. Esto permite a atacantes no autenticados registrarse con el rol 'wcfm_vendor', un rol de vendedor en el plugin WCFM Marketplace – Multivendor Marketplace for WooCommerce. Es crucial actualizar a la versión 4.17.3 para solucionar esta vulnerabilidad.
La escalada de privilegios permitida por esta vulnerabilidad permite a atacantes no autenticados obtener acceso no autorizado al sistema. Al registrarse como 'wcfm_vendor', los atacantes pueden acceder a funcionalidades y datos restringidos a los vendedores del mercado WCFM. Esto podría incluir la modificación de productos, la gestión de pedidos, o incluso el acceso a información sensible de los vendedores. La explotación exitosa de esta vulnerabilidad podría resultar en la manipulación de datos, la interrupción del servicio, o incluso el compromiso de la seguridad de la tienda online. La necesidad de que el plugin WCFM Marketplace esté instalado y activado limita el alcance, pero amplía la superficie de ataque si este plugin está en uso.
Esta vulnerabilidad fue publicada el 2 de mayo de 2025. No se ha reportado su inclusión en el KEV de CISA ni se conocen públicamente exploits activos. La existencia de un proof-of-concept público podría aumentar el riesgo de explotación, por lo que se recomienda aplicar la mitigación lo antes posible. La vulnerabilidad se basa en una configuración incorrecta del plugin, lo que sugiere que podría ser explotada por atacantes con conocimientos técnicos básicos.
WordPress sites utilizing the MStore API plugin in conjunction with the WCFM Marketplace – Multivendor Marketplace for WooCommerce plugin are at risk. Specifically, sites with permissive role assignment configurations or those running older, unpatched versions of the MStore API plugin are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'wcfm_vendor' /var/www/html/wp-content/plugins/
wp-cli plugin list | grep mstore-api• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/mstore-api/ | grep 'X-Powered-By'• wordpress / composer / npm:
wp plugin status mstore-apidisclosure
Estado del Exploit
EPSS
0.49% (65% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin MStore API a la versión 4.17.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, si no es posible actualizar inmediatamente, se recomienda revisar y restringir los permisos del rol 'wcfmvendor' en el plugin WCFM Marketplace, aunque esto puede afectar la funcionalidad normal del mercado. Monitorear los registros del sitio web en busca de intentos de registro sospechosos también puede ayudar a detectar y prevenir la explotación. Después de la actualización, confirme que el registro de usuarios con el rol 'wcfmvendor' requiere autenticación adecuada.
Actualice el plugin MStore API a la versión 4.17.3 o superior para mitigar la vulnerabilidad de escalada de privilegios. Esta actualización corrige la falta de restricciones de roles al registrar nuevos usuarios, previniendo que atacantes no autenticados obtengan privilegios de vendedor de tienda.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-3438 is a medium severity vulnerability in the MStore API WordPress plugin allowing unauthenticated attackers to register as a vendor if the WCFM Marketplace plugin is also installed, potentially granting unauthorized access.
You are affected if you are using MStore API versions 0.0.0 through 4.17.4 and have the WCFM Marketplace plugin installed and activated on your WordPress site.
Upgrade the MStore API plugin to version 4.17.3 or later. If immediate upgrade is not possible, temporarily disable the WCFM Marketplace plugin.
While no public exploits are currently available, the ease of exploitation suggests a potential for active campaigns. Monitor your WordPress site for suspicious activity.
Refer to the MStore API plugin documentation and WordPress security announcements for the official advisory regarding CVE-2025-3438.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.