CVE-2026-11778
ŚrednieCVSS 5.4Streszczenie
Wtyczka CURCY – Multi Currency for WooCommerce dla WordPressa w wersjach do 2.2.14 zawiera podatność umożliwiającą nieuwierzytelnionym atakującym wykonanie dowolnych shortcode'ów. Problem wynika z braku walidacji wartości przed przekazaniem jej do funkcji do_shortcode.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych działań na stronie, takich jak wyświetlanie wrażliwych danych lub modyfikacja treści, co może prowadzić do naruszenia integralności i poufności witryny.
Rekomendacja
Niezwłocznie zaktualizuj wtyczkę CURCY – Multi Currency for WooCommerce do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, rozważ tymczasowe wyłączenie wtyczki.
Oryginalny opis (angielski, źródło NVD)
The The CURCY – Multi Currency for WooCommerce – Smoothly on WooCommerce 9.x plugin for WordPress is vulnerable to arbitrary shortcode execution in all versions up to, and including, 2.2.14. This is due to the software allowing users to execute an action that does not properly validate a value before running do_shortcode. This makes it possible for unauthenticated attackers to execute arbitrary shortcodes.

