Plateforme
wordpress
Composant
cartasi-x-pay
Corrigé dans
8.3.1
8.3.2
CVE-2025-15565 is a medium-severity vulnerability affecting the Nexi XPay plugin for WordPress. This flaw allows unauthenticated attackers to manipulate WooCommerce order statuses, specifically marking pending orders as paid or completed. The vulnerability exists in versions up to and including 8.3.0, and a patch is available in version 8.3.2.
La vulnérabilité CVE-2025-15565 dans le plugin Nexi XPay pour WordPress permet à des attaquants non authentifiés de modifier des données de manière non autorisée. L'absence de vérifications d'autorisation sur la fonction de redirection permet à un attaquant de marquer des commandes WooCommerce en attente comme payées/terminées, même sans avoir effectué le paiement. Cela peut entraîner des pertes financières pour les commerçants, car les commandes seront traitées comme si elles avaient été payées alors qu'elles ne le sont pas. La gravité de la vulnérabilité est évaluée à 5,3 selon le CVSS, ce qui indique un risque modéré. Elle affecte toutes les versions du plugin jusqu'à et y compris la 8.3.0. Il est crucial de mettre à jour le plugin pour atténuer ce risque.
Un attaquant peut exploiter cette vulnérabilité en envoyant une requête malveillante à la fonction de redirection du plugin Nexi XPay. Cette requête serait conçue pour modifier le statut d'une commande WooCommerce en attente en « payée » ou « terminée » sans authentification. L'attaquant peut automatiser ce processus à l'aide d'outils tels que cURL ou des scripts personnalisés. La difficulté d'exploitation est relativement faible, car elle ne nécessite pas de compétences techniques avancées ni d'accès au panneau d'administration WordPress. L'impact potentiel est important, permettant à un attaquant de manipuler le processus de paiement et d'obtenir potentiellement des produits ou des services sans paiement.
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour le plugin Nexi XPay à la version 8.3.2 ou supérieure. Cette version inclut les correctifs nécessaires pour mettre en œuvre les vérifications d'autorisation manquantes dans la fonction de redirection. Nous vous recommandons fortement de mettre à jour dès que possible pour protéger votre site Web WordPress et vos données. De plus, examinez les journaux d'audit de WooCommerce pour détecter toute activité suspecte pouvant indiquer une exploitation antérieure de la vulnérabilité. Envisagez de mettre en œuvre un pare-feu d'applications Web (WAF) avec des règles pour bloquer les tentatives de manipulation de commandes.
Mettez à jour vers la version 8.3.2, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant unique pour une vulnérabilité de sécurité spécifique dans le plugin Nexi XPay pour WordPress.
Si vous utilisez une version du plugin Nexi XPay antérieure à la 8.3.2, votre site Web est vulnérable.
Examinez les journaux d'audit de WooCommerce, modifiez tous les mots de passe des utilisateurs et envisagez de restaurer à partir d'une sauvegarde propre.
Désactiver temporairement le plugin Nexi XPay peut être une solution temporaire, mais cela affectera votre capacité à traiter les paiements avec Nexi.
Vous pouvez télécharger la version mise à jour (8.3.2 ou supérieure) à partir du référentiel de plugins WordPress ou du site Web officiel de Nexi.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.