CVE-2025-4335

ALT (8,8)

CVSS3: 0,0

El connector Woocommerce Multiple Addresses per a WordPress és vulnerable a l’escalada de privilegis en totes les versions fins a la 1.0.7.1 inclosa. Això es deu a la insuficiència de restriccions en el metadatum de l’usuari que es pot actualitzar mitjançant la funció save_multiple_shipping_addresses(). Això permet que els atacants autenticats, amb accés de nivell de subscriptor o superior, elevin els seus privilegis als d’administrador.

Sistemes Afectats

• n3wnormal Woocommerce Multiple Addresses.

Remediació
No hi ha cap recurs disponible a partir del 7 de maig del 2025.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/95e74e70-9dc9-4e63-b371-fd2a38692907?source=cve
• https://plugins.trac.wordpress.org/browser/woocommerce-multiple-addresses/trunk/class-woocommerce-multiple-addresses.php#L522