Katalog CVE

CVE-2026-11364

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

Wtyczka Product Specifications for WooCommerce dla WordPressa w wersjach do 0.8.9 zawiera podatność umożliwiającą nieautoryzowaną modyfikację, tworzenie i usuwanie danych. Brakuje w niej sprawdzenia uprawnień oraz weryfikacji nonce w metodach __invoke() klas AttributeGroupController i AttributeController, co pozwala uwierzytelnionym atakującym z dostępem na poziomie Subskrybenta i wyższym na manipulowanie grupami i atrybutami specyfikacji produktów.

Ocena ryzyka

Organizacja narażona jest na uszkodzenie danych biznesowych oraz zakłócenie wyświetlania stron sklepu, ponieważ atakujący mogą dowolnie tworzyć, edytować i usuwać terminy taksonomii specyfikacji produktów.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Product Specifications for WooCommerce do najnowszej dostępnej wersji, która usuwa tę podatność.

Oryginalny opis (angielski, źródło NVD)

The Product Specifications for WooCommerce plugin for WordPress is vulnerable to unauthorized modification, creation, and deletion of data in versions up to and including 0.8.9. This is due to a missing capability check and missing nonce verification in the __invoke() methods of the AttributeGroupController and AttributeController classes, which are bound to the 'dwps_modify_groups' and 'dwps_modify_attributes' AJAX actions. This makes it possible for authenticated attackers, with Subscriber-level access and above, to create, edit, and delete arbitrary product specification groups and attributes (taxonomy terms in the 'spec-group' and attribute taxonomies), corrupting business data and impacting the site's frontend display.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS