CVE-2025-14033: Acesso Não Autorizado em ilGhera WooCommerce
Plataforma
wordpress
Componente
wc-support-system
Corrigido em
1.3.1
O plugin ilGhera Support System for WooCommerce para WordPress apresenta uma vulnerabilidade de acesso não autorizado a dados. Devido à ausência de uma verificação de capacidade na função 'getticketcontent_callback', atacantes não autenticados podem visualizar o conteúdo de tickets de suporte, comprometendo informações sensíveis. Essa falha afeta versões do plugin de 0 até 1.3.0. A correção está disponível na versão 1.3.1.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado acesse o conteúdo completo de tickets de suporte no sistema WooCommerce. Isso inclui informações confidenciais como dados pessoais de clientes, histórico de comunicação privada e detalhes de pedidos. O impacto pode ser significativo, resultando em exposição de dados sensíveis, comprometimento da privacidade do cliente e potencial dano à reputação da loja online. Um atacante poderia, por exemplo, coletar informações de contato de clientes para fins de phishing ou usar dados de pedidos para realizar fraudes.
Contexto de Exploração
A vulnerabilidade foi publicada em 2026-05-13. A probabilidade de exploração é considerada média, dada a facilidade de acesso ao endpoint e a falta de autenticação necessária. Não há evidências de campanhas ativas de exploração no momento, mas a ausência de uma verificação de capacidade é um padrão comum em vulnerabilidades de acesso não autorizado. A vulnerabilidade não está listada no KEV (Known Exploited Vulnerabilities) no momento da publicação.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Baixo — acesso parcial ou indireto a alguns dados.
- Integrity
- Nenhum — sem impacto na integridade.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o plugin ilGhera Support System for WooCommerce para a versão 1.3.1 ou superior, que inclui a correção da vulnerabilidade. Se a atualização imediata não for possível, implemente uma solução alternativa: adicione uma verificação de capacidade robusta na função 'getticketcontent_callback' para garantir que apenas usuários autenticados com as permissões apropriadas possam acessar o conteúdo do ticket. Considere também restringir o acesso ao endpoint que serve o conteúdo do ticket através de um firewall de aplicação web (WAF) ou regras de proxy, bloqueando solicitações não autenticadas. Após a atualização, confirme a correção verificando se usuários não autenticados não conseguem mais acessar o conteúdo dos tickets de suporte.
Como corrigir
Atualize para a versão 1.3.1, ou uma versão corrigida mais recente
Perguntas frequentes
O que é CVE-2025-14033 — Acesso Não Autorizado em ilGhera WooCommerce?
CVE-2025-14033 é uma vulnerabilidade de acesso não autorizado a dados no plugin ilGhera Support System for WooCommerce, permitindo que atacantes não autenticados visualizem tickets de suporte e informações sensíveis. Afeta versões de 0 a 1.3.0.
Estou afetado por CVE-2025-14033 em ilGhera WooCommerce?
Se você estiver usando o plugin ilGhera Support System for WooCommerce nas versões de 0 a 1.3.0, você está potencialmente afetado. Verifique a versão do plugin em seu WordPress e atualize se necessário.
Como corrigir CVE-2025-14033 em ilGhera WooCommerce?
A correção é atualizar o plugin para a versão 1.3.1 ou superior. Se a atualização imediata não for possível, implemente uma verificação de capacidade na função 'getticketcontent_callback'.
CVE-2025-14033 está sendo ativamente explorado?
Não há evidências de campanhas ativas de exploração no momento, mas a vulnerabilidade é facilmente explorável e pode ser alvo de ataques futuros.
Onde posso encontrar o aviso oficial do ilGhera WooCommerce para CVE-2025-14033?
Verifique o site oficial do ilGhera WooCommerce ou o repositório do plugin no WordPress para obter o aviso oficial e as instruções de atualização.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Escaneie seu projeto WordPress agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...