Wiz
Banco de Dados de VulnerabilidadesCVE-2025-12468

CVE-2025-12468
WordPress Análise e mitigação de vulnerabilidades

Visão geral

The FunnelKit Automations – Email Marketing Automation and CRM for WordPress & WooCommerce plugin is vulnerable to Sensitive Information Exposure in versions up to 3.6.4.1. This vulnerability was discovered and reported by Wordfence, with the assigned identifier CVE-2025-12468. The vulnerability was disclosed on November 5, 2025 (NVD).

Detalhes técnicos

The vulnerability exists in the '/wc-coupons/' REST API endpoint, which is incorrectly configured as a public API with 'publicapi = true'. This configuration results in the endpoint being registered with 'permissioncallback => '_returntrue'', effectively bypassing all authentication and capability checks. The vulnerability has been assigned a CVSS v3.1 base score of 5.3 (Medium) with the vector string CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, indicating network accessibility with low attack complexity and no required privileges (NVD).

Impacto

The vulnerability allows unauthenticated attackers to extract sensitive data including all WooCommerce coupon codes, coupon IDs, and expiration status. This exposure of sensitive information could potentially lead to unauthorized use of coupon codes and financial impact for the affected businesses (NVD).

Mitigação e soluções alternativas

Users of the FunnelKit Automations plugin should immediately update to a version newer than 3.6.4.1 if available. Until an update is applied, it is recommended to implement additional access controls at the web server level to restrict access to the vulnerable endpoint (NVD).

Recursos adicionais

OrigemEste relatório foi gerado usando IA

Relacionado WordPress Vulnerabilidades:

CVE ID

Gravidade

Pontuação

Tecnologias

Nome do componente

Exploração do CISA KEV

Tem correção

Data de publicação

CVE-2025-12497HIGH8.1
  • auxin-portfolio
NãoSimNov 05, 2025
CVE-2025-11745MEDIUM6.4
  • ad-inserter
NãoSimNov 05, 2025
CVE-2025-11987MEDIUM6.4
  • visual-link-preview
NãoSimNov 05, 2025
CVE-2025-12468MEDIUM5.3
  • wp-marketing-automations
NãoSimNov 05, 2025
CVE-2025-12469MEDIUM4.3
  • wp-marketing-automations
NãoSimNov 05, 2025

Avaliação de vulnerabilidade gratuita

Compare sua postura de segurança na nuvem

Avalie suas práticas de segurança na nuvem em 9 domínios de segurança para comparar seu nível de risco e identificar lacunas em suas defesas.

Solicitar avaliação

Recursos adicionais da Wiz

PEACH

PEACH

Uma estrutura de isolamento de inquilino

Marque uma demonstração personalizada

Pronto para ver a Wiz em ação?

"A melhor experiência do usuário que eu já vi, fornece visibilidade total para cargas de trabalho na nuvem."
David EstlickCISO
"A Wiz fornece um único painel de vidro para ver o que está acontecendo em nossos ambientes de nuvem."
Adão FletcherDiretor de Segurança
"Sabemos que se a Wiz identifica algo como crítico, na verdade é."
Greg PoniatowskiChefe de Gerenciamento de Ameaças e Vulnerabilidades
Ver demonstração