CVE-2025-14755: IDOR em Cost Calculator Builder WordPress
Plataforma
wordpress
Componente
cost-calculator-builder
Corrigido em
4.0.2
O plugin Cost Calculator Builder para WordPress apresenta uma vulnerabilidade de Insecure Direct Object Reference (IDOR) e Manipulação de Preço Não Autenticada em todas as versões até, e incluindo, 4.0.1. Essa falha só é explorável quando o plugin é utilizado em conjunto com o Cost Calculator Builder PRO. A vulnerabilidade reside na forma como o plugin lida com solicitações AJAX, permitindo que usuários não autenticados alterem informações de preços no WooCommerce.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
Um atacante não autenticado pode explorar essa vulnerabilidade para manipular os preços dos produtos no WooCommerce, potencialmente causando prejuízos financeiros para o proprietário da loja e para os clientes. A exploração bem-sucedida pode levar a preços incorretos, promoções fraudulentas e até mesmo a roubo de dados. A ausência de verificações de autorização adequadas na função renderWooCommercePayment() permite que atacantes injetem dados maliciosos, alterando o comportamento esperado do sistema de pagamento. A combinação com o Cost Calculator Builder PRO amplia o escopo do ataque, tornando-o mais perigoso.
Contexto de Exploração
A vulnerabilidade foi publicada em 2026-05-12. A probabilidade de exploração é considerada média (EPSS score pendente). Não há relatos públicos de exploração ativa no momento, mas a natureza da vulnerabilidade (IDOR) a torna um alvo potencial para atacantes. A ausência de autenticação necessária para manipular os preços torna a exploração relativamente simples, aumentando o risco de ataques automatizados.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Nenhum — sem impacto na confidencialidade.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o plugin Cost Calculator Builder para a versão 4.0.2 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como restringir o acesso à função ccbwoocommercepayment apenas a usuários autenticados com as permissões apropriadas. Utilize um Web Application Firewall (WAF) para bloquear solicitações AJAX suspeitas que tentem manipular os preços do WooCommerce. Monitore os logs do servidor em busca de atividades anormais relacionadas ao plugin.
Como corrigir
Atualize para a versão 4.0.2, ou uma versão corrigida mais recente
Perguntas frequentes
O que é CVE-2025-14755 — IDOR em Cost Calculator Builder WordPress?
CVE-2025-14755 é uma vulnerabilidade de Insecure Direct Object Reference (IDOR) e Manipulação de Preço Não Autenticada no plugin Cost Calculator Builder para WordPress, permitindo que atacantes não autenticados alterem preços no WooCommerce até a versão 4.0.1, quando usado com o Cost Calculator Builder PRO.
Estou afetado pelo CVE-2025-14755 em Cost Calculator Builder WordPress?
Se você usa o plugin Cost Calculator Builder para WordPress e o Cost Calculator Builder PRO, e sua versão é inferior ou igual a 4.0.1, você está potencialmente afetado. Verifique a versão do seu plugin e atualize imediatamente.
Como corrigir CVE-2025-14755 em Cost Calculator Builder WordPress?
A correção é atualizar o plugin Cost Calculator Builder para a versão 4.0.2 ou superior. Se a atualização não for possível, implemente medidas de segurança adicionais, como restringir o acesso à função ccbwoocommercepayment.
CVE-2025-14755 está sendo ativamente explorado?
Não há relatos públicos de exploração ativa no momento, mas a natureza da vulnerabilidade a torna um alvo potencial para atacantes. É importante aplicar a correção o mais rápido possível.
Onde posso encontrar o advisory oficial do Cost Calculator Builder para CVE-2025-14755?
Consulte o site do Cost Calculator Builder ou o repositório oficial do plugin no WordPress.org para obter o advisory oficial e as informações de atualização.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Escaneie seu projeto WordPress agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...