Plataforma
wordpress
Componente
cartasi-x-pay
Corrigido em
8.3.1
8.3.2
CVE-2025-15565 is a medium-severity vulnerability affecting the Nexi XPay plugin for WordPress. This flaw allows unauthenticated attackers to manipulate WooCommerce order statuses, specifically marking pending orders as paid or completed. The vulnerability exists in versions up to and including 8.3.0, and a patch is available in version 8.3.2.
A vulnerabilidade CVE-2025-15565 no plugin Nexi XPay para WordPress permite que atacantes não autenticados modifiquem dados de forma não autorizada. A ausência de verificações de autorização na função de redirecionamento permite que um atacante marque pedidos pendentes do WooCommerce como pagos/concluídos, mesmo sem ter realizado o pagamento. Isso pode resultar em perdas financeiras para os comerciantes, pois os pedidos serão processados como se tivessem sido pagos quando não estão. A gravidade da vulnerabilidade é avaliada em 5.3 de acordo com o CVSS, o que indica um risco moderado. Afeta todas as versões do plugin até e incluindo a 8.3.0. É crucial atualizar o plugin para mitigar este risco.
Um atacante pode explorar esta vulnerabilidade enviando uma solicitação maliciosa para a função de redirecionamento do plugin Nexi XPay. Esta solicitação seria elaborada para modificar o status de um pedido pendente do WooCommerce para 'pago' ou 'concluído' sem autenticação. O atacante pode automatizar este processo usando ferramentas como cURL ou scripts personalizados. A dificuldade de exploração é relativamente baixa, pois não requer habilidades técnicas avançadas ou acesso ao painel de administração do WordPress. O impacto potencial é significativo, permitindo que um atacante manipule o processo de pagamento e, potencialmente, obtenha produtos ou serviços sem pagamento.
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o plugin Nexi XPay para a versão 8.3.2 ou superior. Esta versão inclui as correções necessárias para implementar as verificações de autorização ausentes na função de redirecionamento. Recomendamos fortemente que você atualize o mais rápido possível para proteger seu site WordPress e seus dados. Além disso, revise os logs de auditoria do WooCommerce para detectar qualquer atividade suspeita que possa indicar uma exploração anterior da vulnerabilidade. Considere a implementação de um Firewall de Aplicações Web (WAF) com regras para bloquear tentativas de manipulação de pedidos.
Atualize para a versão 8.3.2, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um identificador único para uma vulnerabilidade de segurança específica no plugin Nexi XPay para WordPress.
Se você estiver usando uma versão do plugin Nexi XPay anterior à 8.3.2, seu site está vulnerável.
Revise os logs de auditoria do WooCommerce, altere todas as senhas de usuário e considere restaurar a partir de um backup limpo.
Desativar temporariamente o plugin Nexi XPay pode ser uma solução temporária, mas afetará sua capacidade de processar pagamentos com o Nexi.
Você pode baixar a versão atualizada (8.3.2 ou superior) do repositório de plugins do WordPress ou do site oficial do Nexi.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.