Plateforme
wordpress
Composant
mstore-api
Corrigé dans
4.17.3
Le plugin MStore API – Create Native Android & iOS Apps On The Cloud pour WordPress présente une vulnérabilité d'escalade de privilèges. Cette faille permet à un attaquant non authentifié de s'enregistrer avec le rôle 'wcfm_vendor', un rôle de vendeur dans le plugin WCFM Marketplace – Multivendor Marketplace for WooCommerce. Les versions affectées sont celles comprises entre 0.0.0 et 4.17.4 incluses. Une correction est disponible dans la version 4.17.3.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de contourner les contrôles d'accès et d'obtenir des privilèges de vendeur au sein du marché WCFM. Cela peut permettre à l'attaquant de modifier les produits, de gérer les commandes, d'accéder à des informations sensibles sur les vendeurs et potentiellement de compromettre l'ensemble de la plateforme de commerce électronique. L'impact est amplifié si le plugin WCFM Marketplace – Multivendor Marketplace for WooCommerce est activement utilisé et contient des données sensibles ou des transactions financières.
Cette vulnérabilité a été publiée le 2 mai 2025. Il n'y a pas d'indications d'exploitation active à ce jour, ni de PoC publics largement diffusés. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de la CISA. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'avoir le plugin WCFM Marketplace – Multivendor Marketplace for WooCommerce installé et activé.
WordPress sites utilizing the MStore API plugin in conjunction with the WCFM Marketplace – Multivendor Marketplace for WooCommerce plugin are at risk. Specifically, sites with permissive role assignment configurations or those running older, unpatched versions of the MStore API plugin are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'wcfm_vendor' /var/www/html/wp-content/plugins/
wp-cli plugin list | grep mstore-api• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/mstore-api/ | grep 'X-Powered-By'• wordpress / composer / npm:
wp plugin status mstore-apidisclosure
Statut de l'Exploit
EPSS
0.49% (percentile 65%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin MStore API vers la version 4.17.3 ou supérieure. En attendant la mise à jour, il est recommandé de désactiver temporairement le plugin si possible. Si la mise à jour cause des problèmes de compatibilité, envisagez de revenir à une version antérieure stable du plugin, mais soyez conscient des risques potentiels. Surveillez également les journaux d'accès et d'erreurs du serveur WordPress pour détecter toute activité suspecte liée à l'enregistrement de nouveaux utilisateurs.
Actualice el plugin MStore API a la versión 4.17.3 o superior para mitigar la vulnerabilidad de escalada de privilegios. Esta actualización corrige la falta de restricciones de roles al registrar nuevos usuarios, previniendo que atacantes no autenticados obtengan privilegios de vendedor de tienda.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-3438 is a medium severity vulnerability in the MStore API WordPress plugin allowing unauthenticated attackers to register as a vendor if the WCFM Marketplace plugin is also installed, potentially granting unauthorized access.
You are affected if you are using MStore API versions 0.0.0 through 4.17.4 and have the WCFM Marketplace plugin installed and activated on your WordPress site.
Upgrade the MStore API plugin to version 4.17.3 or later. If immediate upgrade is not possible, temporarily disable the WCFM Marketplace plugin.
While no public exploits are currently available, the ease of exploitation suggests a potential for active campaigns. Monitor your WordPress site for suspicious activity.
Refer to the MStore API plugin documentation and WordPress security announcements for the official advisory regarding CVE-2025-3438.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.