Vulnerabilities ›

CVE-2025-13457

High

WooCommerce Square Plugin IDOR Vulnerability Exposes Payment Card Tokens

CWE-639 — Weakness Type

                    Published: Jan 10, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

The WooCommerce Square plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 5.1.1 via the get_token_by_id function due to missing validation on a user controlled key. This makes it possible for unauthenticated attackers to expose arbitrary Square "ccof" (credit card on file) values and leverage this value to potentially make fraudulent charges on the target site.

🤖 AI Executive Summary

The WooCommerce Square plugin for WordPress (versions ≤5.1.1) contains an Insecure Direct Object Reference vulnerability allowing unauthenticated attackers to access stored credit card tokens (ccof values) through the get_token_by_id function. Attackers can exploit this to retrieve payment card references and potentially execute fraudulent transactions on affected e-commerce sites.

📄 Description (Arabic)

تمثل هذه الثغرة الأمنية خطراً كبيراً على منصات التجارة الإلكترونية التي تستخدم إضافة WooCommerce Square لمعالجة المدفوعات. تنشأ المشكلة من عدم التحقق الكافي من صلاحيات المستخدم في دالة get_token_by_id، مما يسمح لأي مهاجم غير مصرح له بالوصول المباشر إلى قيم رموز بطاقات الائتمان المحفوظة في الملف (ccof). يمكن استغلال هذه الرموز لتنفيذ عمليات شراء احتيالية أو سرقة معلومات مالية حساسة. تصنف الثغرة ضمن CWE-639 وتحمل درجة خطورة عالية بمعدل CVSS 7.5، مما يستوجب اتخاذ إجراءات فورية لحماية بيانات العملاء والامتثال للمعايير التنظيمية.

🤖 ملخص تنفيذي (AI)

تحتوي إضافة WooCommerce Square لنظام ووردبريس (الإصدارات 5.1.1 وما دون) على ثغرة مرجع كائن مباشر غير آمن تسمح للمهاجمين غير المصادق عليهم بالوصول إلى رموز بطاقات الائتمان المخزنة (قيم ccof) عبر دالة get_token_by_id. يمكن للمهاجمين استغلال هذه الثغرة لاسترجاع مراجع بطاقات الدفع وتنفيذ معاملات احتيالية محتملة على مواقع التجارة الإلكترونية المتأثرة.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 08:15

🇸🇦 Saudi Arabia Impact Assessment

Saudi e-commerce platforms using WooCommerce Square for payment processing face significant risk of payment fraud and data breaches. This vulnerability directly threatens compliance with SAMA's Payment Card Industry Data Security Standard (PCI-DSS) requirements and PDPL regulations regarding protection of financial data, potentially resulting in regulatory penalties and reputational damage.

🏢 Affected Saudi Sectors

التجارة الإلكترونية الخدمات المالية البيع بالتجزئة المدفوعات الرقمية الخدمات المصرفية

🎯 MITRE ATT&CK Techniques

T1190 T1212 T1552.001 T1078

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately update WooCommerce Square plugin to version 5.1.2 or later when available, or temporarily disable the plugin until a patch is released to prevent unauthorized access to payment tokens.

2. Implement Web Application Firewall (WAF) rules to monitor and block suspicious API calls to get_token_by_id function, and conduct forensic analysis of access logs to identify potential exploitation attempts.

3. Review all stored payment tokens and transaction logs for unauthorized access, notify affected customers per PDPL requirements, and implement additional authentication layers for payment token retrieval operations.

🔧 خطوات المعالجة (العربية)

1. تحديث إضافة WooCommerce Square فوراً إلى الإصدار 5.1.2 أو أحدث عند توفره، أو تعطيل الإضافة مؤقتاً حتى صدور التحديث الأمني لمنع الوصول غير المصرح به إلى رموز الدفع.

2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لمراقبة وحظر استدعاءات API المشبوهة لدالة get_token_by_id، وإجراء تحليل جنائي لسجلات الوصول لتحديد محاولات الاستغلال المحتملة.

3. مراجعة جميع رموز الدفع المخزنة وسجلات المعاملات للكشف عن الوصول غير المصرح به، وإخطار العملاء المتأثرين وفقاً لمتطلبات نظام حماية البيانات الشخصية، وتطبيق طبقات مصادقة إضافية لعمليات استرجاع رموز الدفع.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 (Access Control) ECC-3-1 (Data Security) ECC-5-1 (Vulnerability Management) ECC-6-2 (Incident Management)

🔵 SAMA CSF

CCC-1.1.1 (Access Control Policy) CCC-3.1.1 (Data Classification and Protection) CCC-5.1.2 (Vulnerability Assessment) CCC-8.1.1 (PCI-DSS Compliance)

🟡 ISO 27001:2022

A.9.2.1 (User Registration) A.9.4.1 (Information Access Restriction) A.12.6.1 (Technical Vulnerability Management) A.18.1.3 (Protection of Records)

🔗 References & Sources 2

🔗

https://plugins.trac.wordpress.org/changeset/3415850/woocommerce-square

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/c7f4f726-7e53-4397-8d8b-7a574...

security@wordfence.com

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-639

EPSS0.05%

Exploit No

Patch ✓ Yes

Published 2026-01-10

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-639

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-13457

Introduce Yourself

Sign In Required