平台
wordpress
组件
mstore-api
修复版本
4.17.3
CVE-2025-3438 是 MStore API – Create Native Android & iOS Apps On The Cloud WordPress 插件中的特权提升漏洞。该漏洞允许未经身份验证的攻击者注册为 'wcfm_vendor' 角色,从而获得 Store Vendor 权限。此漏洞影响 MStore API 插件 0.0.0 至 4.17.4 版本。建议升级至 4.17.3 版本以解决此问题。
攻击者利用此漏洞可以获得 Store Vendor 权限,从而可能访问和修改与 WooCommerce 市场相关的敏感数据和功能。这可能包括管理产品、订单和客户信息,甚至可能影响其他用户。由于该漏洞需要 WCFM Marketplace – Multivendor Marketplace for WooCommerce 插件已安装和激活,因此攻击者的成功取决于目标系统上这两个插件的存在。如果攻击者成功获得 Store Vendor 权限,他们可能会对网站的运营和数据安全造成严重影响。
目前尚未公开发现利用此漏洞的公开 POC。该漏洞已于 2025 年 5 月 2 日公开披露。CISA 尚未将其添加到 KEV 目录。由于缺乏公开利用代码,利用概率较低,但仍需密切关注。
WordPress sites utilizing the MStore API plugin in conjunction with the WCFM Marketplace – Multivendor Marketplace for WooCommerce plugin are at risk. Specifically, sites with permissive role assignment configurations or those running older, unpatched versions of the MStore API plugin are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'wcfm_vendor' /var/www/html/wp-content/plugins/
wp-cli plugin list | grep mstore-api• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/mstore-api/ | grep 'X-Powered-By'• wordpress / composer / npm:
wp plugin status mstore-apidisclosure
漏洞利用状态
EPSS
0.49% (65% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 MStore API 插件升级至 4.17.3 或更高版本。如果升级会导致兼容性问题,可以考虑暂时禁用 WCFM Marketplace – Multivendor Marketplace for WooCommerce 插件,直到升级完成。此外,建议审查所有用户角色和权限,确保没有未经授权的 'wcfm_vendor' 角色存在。升级后,请验证插件版本是否已成功更新,并检查是否有任何异常活动。
Actualice el plugin MStore API a la versión 4.17.3 o superior para mitigar la vulnerabilidad de escalada de privilegios. Esta actualización corrige la falta de restricciones de roles al registrar nuevos usuarios, previniendo que atacantes no autenticados obtengan privilegios de vendedor de tienda.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-3438 是 MStore API WordPress 插件中的一个特权提升漏洞,允许未经身份验证的攻击者注册为 Store Vendor,从而获得权限。
如果您正在使用 MStore API 插件的版本低于 4.17.3 且同时安装并激活了 WCFM Marketplace 插件,则您可能受到影响。
请将 MStore API 插件升级至 4.17.3 或更高版本。如果升级导致问题,请暂时禁用 WCFM Marketplace 插件。
目前尚未公开发现利用此漏洞的公开 POC,但仍需保持警惕。
请查阅 MStore API 插件的官方更新日志或联系他们的支持团队以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。