CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-2631

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Datalogics Ecommerce Delivery dla WordPressa przed wersją 2.6.60 udostępnia nieautoryzowany punkt końcowy REST, który pozwala zdalnym użytkownikom na modyfikację opcji `datalogics_token` bez weryfikacji. Token ten jest następnie używany do autoryzacji w chronionym punkcie końcowym, co umożliwia wykonywanie dowolnych operacji `update_option()` w WordPressie.

Risk Assessment

Atakujący mogą wykorzystać tę podatność do włączenia rejestracji użytkowników oraz ustawienia domyślnej roli jako Administrator, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację wtyczki Datalogics Ecommerce Delivery do wersji 2.6.60 lub nowszej oraz monitorowanie i ograniczenie dostępu do punktów końcowych REST w celu zminimalizowania ryzyka.

Original NVD description (English source)

The Datalogics Ecommerce Delivery WordPress plugin before 2.6.60 exposes an unauthenticated REST endpoint that allows any remote user to modify the option `datalogics_token` without verification. This token is subsequently used for authentication in a protected endpoint that allows users to perform arbitrary WordPress `update_option()` operations. Attackers can use this to enable registartion and to set the default role as Administrator.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS