CVE-2025-14755: IDOR/Manipulation de Prix dans Cost Calculator Builder
Plateforme
wordpress
Composant
cost-calculator-builder
Corrigé dans
4.0.2
La vulnérabilité CVE-2025-14755 affecte le plugin Cost Calculator Builder pour WordPress, en particulier les versions inférieures ou égales à 4.0.1, lorsqu'il est utilisé avec Cost Calculator Builder PRO. Elle permet à des attaquants non authentifiés de manipuler les prix WooCommerce et d'exploiter une faille d'Insecure Direct Object Reference (IDOR). Cette vulnérabilité est due à une configuration incorrecte de l'action AJAX ccbwoocommercepayment, et à un manque de validation des données utilisateur.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
Un attaquant peut exploiter cette vulnérabilité pour modifier les prix des produits WooCommerce sans authentification. Cela peut entraîner des pertes financières importantes pour les entreprises utilisant le plugin, car les clients pourraient acheter des produits à des prix incorrects. L'attaquant pourrait également manipuler les prix pour nuire à la réputation de l'entreprise ou pour obtenir un avantage concurrentiel. L'absence de vérification des autorisations dans la fonction renderWooCommercePayment() rend l'attaque particulièrement simple à réaliser. Cette vulnérabilité est similaire à d'autres failles IDOR où l'accès direct aux objets est possible sans les contrôles d'authentification appropriés.
Contexte d'Exploitation
La vulnérabilité CVE-2025-14755 a été publiée le 12 mai 2026. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une configuration spécifique (utilisation de Cost Calculator Builder PRO). Il n'y a pas d'informations disponibles concernant des campagnes d'exploitation actives ou des preuves publiques de Proof of Concept (POC). La vulnérabilité n'est pas répertoriée sur KEV (Known Exploited Vulnerabilities) ni sur EPSS (Emerging Threats Priority Score System).
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La solution la plus efficace est de mettre à jour le plugin Cost Calculator Builder vers la version 4.0.2 ou supérieure, qui corrige cette vulnérabilité. En attendant, des mesures d'atténuation temporaires peuvent être mises en place. Il est crucial de désactiver l'action AJAX ccbwoocommercepayment si elle n'est pas essentielle. Si l'action est nécessaire, implémentez une authentification robuste pour l'action AJAX et effectuez une validation stricte des données utilisateur avant de les utiliser dans la fonction renderWooCommercePayment(). Vérifiez également les logs du serveur pour détecter toute tentative d'accès non autorisé à l'action AJAX. Après la mise à jour, vérifiez que les prix WooCommerce sont correctement affichés et que seuls les utilisateurs authentifiés peuvent les modifier.
Comment corriger
Mettre à jour vers la version 4.0.2, ou une version corrigée plus récente
Questions fréquentes
Que signifie CVE-2025-14755 — IDOR/Manipulation de Prix dans Cost Calculator Builder ?
CVE-2025-14755 est une vulnérabilité IDOR et de manipulation de prix affectant le plugin Cost Calculator Builder pour WordPress, permettant à des utilisateurs non authentifiés de modifier les prix WooCommerce. La vulnérabilité est présente dans les versions inférieures ou égales à 4.0.1 lorsqu'il est utilisé avec Cost Calculator Builder PRO.
Suis-je affecté par CVE-2025-14755 dans Cost Calculator Builder ?
Vous êtes affecté si vous utilisez le plugin Cost Calculator Builder pour WordPress avec Cost Calculator Builder PRO et que vous avez une version inférieure ou égale à 4.0.1. Vérifiez votre version actuelle du plugin.
Comment corriger CVE-2025-14755 dans Cost Calculator Builder ?
La solution recommandée est de mettre à jour le plugin Cost Calculator Builder vers la version 4.0.2 ou supérieure. En attendant, appliquez des mesures d'atténuation temporaires comme la désactivation de l'action AJAX ou l'implémentation d'une authentification robuste.
CVE-2025-14755 est-il activement exploité ?
À l'heure actuelle, il n'y a pas d'informations disponibles concernant des campagnes d'exploitation actives ou des preuves publiques de Proof of Concept (POC) pour CVE-2025-14755.
Où puis-je trouver l'avis officiel de Cost Calculator Builder pour CVE-2025-14755 ?
Consultez le site web du développeur de Cost Calculator Builder ou le dépôt GitHub du plugin pour obtenir l'avis officiel concernant CVE-2025-14755.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...