Plataforma
wordpress
Componente
easycommerce
Corrigido em
1.8.3
A vulnerabilidade CVE-2025-11457 representa uma grave falha de Escalada de Privilégios no plugin EasyCommerce – AI-Powered WordPress Ecommerce Plugin. Essa falha permite que atacantes não autenticados obtenham acesso de administrador ao site, comprometendo a segurança dos dados e a integridade do sistema. A vulnerabilidade afeta versões do plugin entre 0.9.0-beta2 e 1.8.2. A correção foi disponibilizada na versão 1.8.3.
Um atacante pode explorar essa vulnerabilidade para obter acesso irrestrito a um site WordPress que utiliza o plugin EasyCommerce. Ao explorar a API /easycommerce/v1/orders sem as devidas restrições de autenticação e autorização, o atacante pode se registrar no sistema e, subsequentemente, se auto-promover à função de administrador. Isso concede ao atacante controle total sobre o site, incluindo a capacidade de modificar dados, instalar malware, criar contas de usuário adicionais e comprometer outros sistemas conectados. O impacto é severo, pois a perda de controle do site pode resultar em roubo de dados de clientes, interrupção de serviços e danos à reputação da organização.
A vulnerabilidade foi divulgada em 11 de novembro de 2025. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, pois a exploração é relativamente simples. A falta de autenticação adequada na API torna a exploração acessível a atacantes com conhecimento básico de WordPress.
WordPress websites utilizing the EasyCommerce plugin, particularly those running versions 0.9.0-beta2 through 1.8.2, are at significant risk. Shared hosting environments where plugin updates are not consistently managed are especially vulnerable, as are sites with limited security configurations.
• wordpress / composer / npm:
wp plugin list | grep easycommerce• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status easycommerce• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/easycommerce/v1/orders• generic web: Check WordPress plugin directory for updates and security advisories.
disclosure
Status do Exploit
EPSS
0.19% (percentil 40%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-11457 é a atualização imediata do plugin EasyCommerce para a versão 1.8.3 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente a API /easycommerce/v1/orders através de um arquivo .htaccess ou plugin de segurança do WordPress. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações não autorizadas à API também pode ajudar a mitigar o risco. Monitore os logs do WordPress em busca de tentativas de registro suspeitas ou alterações inesperadas nas permissões de usuário.
Atualize para a versão 1.8.3 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-11457 is a critical vulnerability in the EasyCommerce WordPress plugin allowing unauthenticated attackers to gain administrator access. It affects versions 0.9.0-beta2 to 1.8.2 due to improper role restrictions.
You are affected if your WordPress site uses the EasyCommerce plugin and is running version 0.9.0-beta2 through 1.8.2. Check your plugin version immediately.
Upgrade the EasyCommerce plugin to version 1.8.3 or later. If immediate upgrade is not possible, consider temporary workarounds like restricting access to the /easycommerce/v1/orders endpoint.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a high probability of exploitation if left unpatched.
Refer to the EasyCommerce plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.