Plataforma
wordpress
Componente
mstore-api
Corrigido em
4.17.3
O plugin MStore API – Create Native Android & iOS Apps On The Cloud para WordPress apresenta uma vulnerabilidade de escalada de privilégios. Essa falha permite que atacantes não autenticados se registrem com o papel 'wcfm_vendor', concedendo-lhes acesso indevido ao sistema. A vulnerabilidade afeta versões de 0.0.0 até 4.17.4 e requer a instalação e ativação do plugin WCFM Marketplace – Multivendor Marketplace for WooCommerce. Uma correção está disponível na versão 4.17.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado se registre no sistema como um 'wcfm_vendor'. Esse papel concede privilégios de vendedor na loja, permitindo potencialmente a manipulação de produtos, pedidos e outras funcionalidades críticas da plataforma de e-commerce. O impacto pode variar dependendo da configuração específica do WCFM Marketplace, mas pode incluir a criação de produtos falsos, alteração de preços, roubo de informações de clientes e até mesmo a tomada do controle total da loja. A falta de autenticação necessária para a criação de contas de vendedor representa um risco significativo para a integridade e a segurança da plataforma.
A vulnerabilidade foi divulgada em 2025-05-02. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um proof-of-concept público é desconhecida. A gravidade da vulnerabilidade é classificada como Média (CVSS 6.5), indicando uma probabilidade moderada de exploração.
WordPress sites utilizing the MStore API plugin in conjunction with the WCFM Marketplace – Multivendor Marketplace for WooCommerce plugin are at risk. Specifically, sites with permissive role assignment configurations or those running older, unpatched versions of the MStore API plugin are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'wcfm_vendor' /var/www/html/wp-content/plugins/
wp-cli plugin list | grep mstore-api• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/mstore-api/ | grep 'X-Powered-By'• wordpress / composer / npm:
wp plugin status mstore-apidisclosure
Status do Exploit
EPSS
0.49% (percentil 65%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata do plugin MStore API para a versão 4.17.3 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin MStore API até que a atualização possa ser aplicada. Como medida adicional, revise as permissões de usuário existentes no WCFM Marketplace para garantir que não haja contas de vendedor suspeitas. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações de registro não autorizadas também pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando se novos registros de usuários requerem autenticação adequada.
Actualice el plugin MStore API a la versión 4.17.3 o superior para mitigar la vulnerabilidad de escalada de privilegios. Esta actualización corrige la falta de restricciones de roles al registrar nuevos usuarios, previniendo que atacantes no autenticados obtengan privilegios de vendedor de tienda.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-3438 is a medium severity vulnerability in the MStore API WordPress plugin allowing unauthenticated attackers to register as a vendor if the WCFM Marketplace plugin is also installed, potentially granting unauthorized access.
You are affected if you are using MStore API versions 0.0.0 through 4.17.4 and have the WCFM Marketplace plugin installed and activated on your WordPress site.
Upgrade the MStore API plugin to version 4.17.3 or later. If immediate upgrade is not possible, temporarily disable the WCFM Marketplace plugin.
While no public exploits are currently available, the ease of exploitation suggests a potential for active campaigns. Monitor your WordPress site for suspicious activity.
Refer to the MStore API plugin documentation and WordPress security announcements for the official advisory regarding CVE-2025-3438.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.