Vulnerabilities ›

CVE-2025-13457

High

WooCommerce Square Plugin IDOR Vulnerability Exposes Payment Card Tokens

CWE-639 — Weakness Type

                    Published: Jan 10, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

The WooCommerce Square plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 5.1.1 via the get_token_by_id function due to missing validation on a user controlled key. This makes it possible for unauthenticated attackers to expose arbitrary Square "ccof" (credit card on file) values and leverage this value to potentially make fraudulent charges on the target site.

🤖 AI Executive Summary

The WooCommerce Square plugin contains an Insecure Direct Object Reference vulnerability in the get_token_by_id function that allows unauthenticated attackers to expose credit card on file tokens. Attackers can leverage these exposed tokens to make fraudulent charges on affected e-commerce sites.

📄 Description (Arabic)

تحتوي إضافة WooCommerce Square على ثغرة مرجع كائن مباشر غير آمن تسمح للمهاجمين غير المصرحين بالوصول إلى رموز بطاقات الائتمان المحفوظة. يمكن استخدام هذه الرموز المكشوفة لتنفيذ عمليات دفع احتيالية على المتاجر الإلكترونية المتأثرة.

🤖 ملخص تنفيذي (AI)

ثغرة في إضافة WooCommerce Square تسمح للمهاجمين غير المصرحين بالوصول المباشر إلى بيانات بطاقات الائتمان المحفوظة. يمكن استخدام هذه البيانات المكشوفة لإجراء عمليات شراء احتيالية على المتاجر الإلكترونية المتأثرة.

🤖 AI Intelligence Analysis Analyzed: May 3, 2026 17:18

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1566 T1589

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update WooCommerce Square plugin to version 5.1.2 or later immediately. Implement input validation and access controls on the get_token_by_id function. Review payment token exposure logs and monitor for fraudulent transactions. Consider implementing Web Application Firewall rules to block suspicious token access patterns.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة WooCommerce Square إلى الإصدار 5.1.2 أو أحدث فوراً. طبق التحقق من صحة المدخلات والتحكم في الوصول على وظيفة get_token_by_id. راجع سجلات كشف رموز الدفع وراقب العمليات الاحتيالية. فكر في تطبيق قواعد جدار حماية تطبيقات الويب لحجب أنماط الوصول المريبة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 6.1

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.9.4.3

🔗 References & Sources 2

🔗

https://plugins.trac.wordpress.org/changeset/3415850/woocommerce-square

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/c7f4f726-7e53-4397-8d8b-7a574...

security@wordfence.com

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-639

EPSS0.05%

Exploit No

Patch ✓ Yes

Published 2026-01-10

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-639

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2025-13457

💬 Comments

Introduce Yourself

Sign In Required