Plataforma
wordpress
Componente
clover-online-orders
Corrigido em
1.6.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no plugin Smart Online Order for Clover, afetando versões de 0.0.0 até 1.6.0. CSRF permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, comprometendo a segurança e a integridade dos dados. A atualização para uma versão corrigida é a solução recomendada para mitigar este risco.
A vulnerabilidade CSRF em Smart Online Order for Clover permite que um atacante execute ações como modificar pedidos, alterar configurações ou até mesmo obter acesso a informações sensíveis, tudo isso sem o conhecimento ou consentimento do usuário. Um atacante pode criar um site malicioso ou enviar um e-mail com um link que, quando clicado por um usuário autenticado, executa ações indesejadas no sistema. O impacto potencial inclui a perda de dados, comprometimento da reputação e interrupção do serviço. Explorações bem-sucedidas podem resultar em modificações não autorizadas de pedidos, levando a perdas financeiras e insatisfação do cliente.
A vulnerabilidade CSRF em Smart Online Order for Clover não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento. A probabilidade de exploração é considerada média, devido à facilidade de execução de ataques CSRF e à ampla utilização de plugins WordPress. Não há public proof-of-concept (PoC) amplamente divulgados, mas a natureza da vulnerabilidade CSRF torna a exploração relativamente simples. O CVE foi publicado em 2026-04-15.
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-15635 é atualizar o plugin Smart Online Order for Clover para uma versão corrigida, assim que estiver disponível. Enquanto a atualização não estiver disponível, implemente medidas de proteção CSRF, como a validação de tokens CSRF em todas as requisições que modificam o estado do sistema. Considere o uso de um Web Application Firewall (WAF) com regras para detectar e bloquear ataques CSRF. Além disso, eduque os usuários sobre os riscos de clicar em links suspeitos ou visitar sites não confiáveis.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A CSRF (Cross-Site Request Forgery) attack forces an authenticated user to perform unintended actions on a web application without their knowledge.
Monitor your Clover account for unusual activity, such as unauthorized orders or changes to settings.
Change your password immediately and contact Clover and ZAYTECH support.
While there's no official fix, implementing good security practices, such as CSRF token validation and user education, can help reduce the risk.
You can contact the application developer, ZAYTECH, or Clover support for more information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.