CVE-2025-47272

The CE Phoenix eCommerce platform, starting in version 1.0.9.7 and prior to version 1.1.0.3, allowed logged-in users to delete their accounts without requiring password re-authentication. An attacker with temporary access to an authenticated session (e.g., on a shared/public machine) could permanently delete the user’s account without knowledge of the password. This bypass of re-authentication puts users at risk of account loss and data disruption. Version 1.1.0.3 contains a patch for the issue.

CVSS v3 5.5 MEDIUM

5.5^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.8 / Impact : 3.6

Attack Vector LOCAL

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/CE-PhoenixCart/PhoenixCart/commit/e87162b15d31c4126acfc1aad6108e5b9955bb76
https://github.com/CE-PhoenixCart/PhoenixCart/security/advisories/GHSA-62qj-pvwm-h8cv

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary		(es) La plataforma CE Phoenix eCommerce, a partir de la versión 1.0.9.7 y anteriores a la 1.1.0.3, permitía a los usuarios conectados eliminar sus cuentas sin necesidad de volver a autenticar la contraseña. Un atacante con acceso temporal a una sesión autenticada (por ejemplo, en una máquina compartida o pública) podría eliminar permanentemente la cuenta del usuario sin conocer la contraseña. Esta omisión de la reautenticación pone a los usuarios en riesgo de pérdida de cuenta e interrupción de datos. La versión 1.1.0.3 incluye un parche para este problema.

02 Jun 2025, 11:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-06-02 11:15

Updated : 2026-04-15 00:35

NVD link : CVE-2025-47272

Mitre link : CVE-2025-47272

CVE.ORG link : CVE-2025-47272

JSON object : View

Products Affected

No product.

CWE

CWE-306

Missing Authentication for Critical Function

5.5 /10