CVE-2025-12500

The Checkout Field Manager (Checkout Manager) for WooCommerce plugin for WordPress is vulnerable to unauthenticated limited file upload in all versions up to, and including, 7.8.1. This is due to the plugin not properly verifying that a user is authorized to perform file upload actions via the "ajax_checkout_attachment_upload" function. This makes it possible for unauthenticated attackers to upload files to the server, though file types are limited to WordPress's default allowed MIME types (images, documents, etc.).
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) El plugin Checkout Field Manager (Checkout Manager) para WooCommerce para WordPress es vulnerable a la carga de archivos limitada no autenticada en todas las versiones hasta la 7.8.1, inclusive. Esto se debe a que el plugin no verifica correctamente que un usuario está autorizado para realizar acciones de carga de archivos a través de la función 'ajax_checkout_attachment_upload'. Esto hace posible que atacantes no autenticados carguen archivos al servidor, aunque los tipos de archivo están limitados a los tipos MIME predeterminados permitidos por WordPress (imágenes, documentos, etc.).

19 Feb 2026, 07:17

Type Values Removed Values Added
New CVE

Information

Published : 2026-02-19 07:17

Updated : 2026-06-17 08:32


NVD link : CVE-2025-12500

Mitre link : CVE-2025-12500

CVE.ORG link : CVE-2025-12500


JSON object : View

Products Affected

No product.

CWE
CWE-434

Unrestricted Upload of File with Dangerous Type