Platform
wordpress
Component
mstore-api
Opgelost in
4.17.3
De MStore API plugin voor WordPress, gebruikt voor het maken van native Android en iOS apps in de cloud, vertoont een privilege escalatie kwetsbaarheid. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om zich te registreren met een verhoogde rol, namelijk 'wcfm_vendor', binnen de WCFM Marketplace plugin. De kwetsbaarheid is aanwezig in versies van 0.0.0 tot en met 4.17.4 en kan worden opgelost door te upgraden naar versie 4.17.3.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om zich te registreren als een Store Vendor binnen de WCFM Marketplace. Dit kan leiden tot ongeautoriseerde toegang tot vendor-specifieke functionaliteiten en data, zoals het beheren van producten, bestellingen en klantgegevens. De impact is verhoogd omdat de WCFM Marketplace plugin vaak wordt gebruikt in e-commerce omgevingen, wat de potentiële schade aanzienlijk kan zijn. De kwetsbaarheid vereist dat de WCFM Marketplace plugin ook geïnstalleerd en geactiveerd is om te kunnen worden misbruikt.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-05-02. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de relatief eenvoudige aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De CVSS score van 6.5 (MEDIUM) duidt op een gematigd risico, wat betekent dat actieve exploitatie mogelijk is, maar niet onvermijdelijk. Controleer de CISA KEV catalogus voor updates.
WordPress sites utilizing the MStore API plugin in conjunction with the WCFM Marketplace – Multivendor Marketplace for WooCommerce plugin are at risk. Specifically, sites with permissive role assignment configurations or those running older, unpatched versions of the MStore API plugin are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'wcfm_vendor' /var/www/html/wp-content/plugins/
wp-cli plugin list | grep mstore-api• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/mstore-api/ | grep 'X-Powered-By'• wordpress / composer / npm:
wp plugin status mstore-apidisclosure
Exploit Status
EPSS
0.49% (65% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de MStore API plugin naar versie 4.17.3 of hoger. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere, stabiele versie van de plugin. Controleer de WCFM Marketplace plugin op verdachte vendor accounts. Implementeer strikte toegangscontroles en authenticatie mechanismen binnen de WCFM Marketplace plugin om ongeautoriseerde registraties te voorkomen. Na de upgrade, controleer de vendor accounts en logboeken op ongebruikelijke activiteit om te bevestigen dat de kwetsbaarheid is verholpen.
Actualice el plugin MStore API a la versión 4.17.3 o superior para mitigar la vulnerabilidad de escalada de privilegios. Esta actualización corrige la falta de restricciones de roles al registrar nuevos usuarios, previniendo que atacantes no autenticados obtengan privilegios de vendedor de tienda.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-3438 is a medium severity vulnerability in the MStore API WordPress plugin allowing unauthenticated attackers to register as a vendor if the WCFM Marketplace plugin is also installed, potentially granting unauthorized access.
You are affected if you are using MStore API versions 0.0.0 through 4.17.4 and have the WCFM Marketplace plugin installed and activated on your WordPress site.
Upgrade the MStore API plugin to version 4.17.3 or later. If immediate upgrade is not possible, temporarily disable the WCFM Marketplace plugin.
While no public exploits are currently available, the ease of exploitation suggests a potential for active campaigns. Monitor your WordPress site for suspicious activity.
Refer to the MStore API plugin documentation and WordPress security announcements for the official advisory regarding CVE-2025-3438.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.