Platform
wordpress
Component
cartasi-x-pay
Opgelost in
8.3.1
8.3.2
CVE-2025-15565 is a medium-severity vulnerability affecting the Nexi XPay plugin for WordPress. This flaw allows unauthenticated attackers to manipulate WooCommerce order statuses, specifically marking pending orders as paid or completed. The vulnerability exists in versions up to and including 8.3.0, and a patch is available in version 8.3.2.
CVE-2025-15565 in de Nexi XPay plugin voor WordPress onthult een kwetsbaarheid waardoor ongeautoriseerde datamodificatie mogelijk is. De ontbrekende autorisatiecontroles op de redirect functie stelt niet-geauthenticeerde aanvallers in staat om in behandeling zijnde WooCommerce bestellingen als betaald/voltooid te markeren. Dit kan leiden tot financiële verliezen voor handelaren, aangezien bestellingen worden verwerkt alsof ze betaald zijn terwijl dat niet het geval is. De CVSS score is 5.3, wat een matig risico aangeeft. Deze kwetsbaarheid treft alle versies van de plugin tot en met 8.3.0. Snel handelen is cruciaal om dit risico te beperken.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een kwaadwillige aanvraag naar de redirect functie van de Nexi XPay plugin te sturen. Deze aanvraag is ontworpen om de status van een in behandeling zijnde WooCommerce bestelling te wijzigen in 'betaald' of 'voltooid' zonder authenticatie. De aanvaller kan dit proces automatiseren met behulp van tools zoals cURL of aangepaste scripts. De moeilijkheidsgraad van de exploitatie is relatief laag, omdat er geen geavanceerde technische vaardigheden of toegang tot het WordPress admin paneel vereist is. De potentiële impact is aanzienlijk, waardoor een aanvaller het betalingsproces kan manipuleren en mogelijk producten of diensten zonder betaling kan verkrijgen.
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om de Nexi XPay plugin te updaten naar versie 8.3.2 of hoger. Deze versie bevat de nodige fixes om de ontbrekende autorisatiecontroles in de redirect functie te implementeren. We raden ten zeerste aan om zo snel mogelijk te updaten om uw WordPress website en gegevens te beschermen. Controleer bovendien uw WooCommerce audit logs op verdachte activiteiten die kunnen wijzen op eerdere uitbuiting. Overweeg het implementeren van een Web Application Firewall (WAF) met regels om pogingen tot manipulatie van bestellingen te blokkeren.
Update naar versie 8.3.2, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een unieke identificatie voor een specifieke beveiligingskwetsbaarheid in de Nexi XPay plugin voor WordPress.
Als u een versie van de Nexi XPay plugin gebruikt die ouder is dan 8.3.2, is uw website kwetsbaar.
Controleer uw WooCommerce audit logs, wijzig alle gebruikerswachtwoorden en overweeg om te herstellen van een schone back-up.
Het tijdelijk uitschakelen van de Nexi XPay plugin kan een tijdelijke oplossing zijn, maar dit heeft invloed op uw vermogen om betalingen met Nexi te verwerken.
U kunt de bijgewerkte versie (8.3.2 of hoger) downloaden van het WordPress plugin repository of de officiële Nexi website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.