Katalog CVE

CVE-2026-1672

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 - wyżej niż 7% wszystkich znanych CVE

Streszczenie

Wtyczka BEAR – Bulk Editor and Products Manager Professional dla WooCommerce do WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 1.1.5 włącznie. Brak walidacji nonce w funkcji woobe_redraw_table_row() umożliwia nieuwierzytelnionym atakującym aktualizację danych produktów WooCommerce, takich jak ceny, opisy i inne pola produktu, poprzez sfałszowane żądanie, pod warunkiem że nakłonią administratora lub menedżera sklepu do wykonania akcji, np. kliknięcia w link.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanej modyfikacji danych produktów w sklepie WooCommerce, co może prowadzić do manipulacji cenami, opisami i innymi kluczowymi informacjami, wpływając na integralność sklepu i zaufanie klientów.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki BEAR – Bulk Editor and Products Manager Professional do najnowszej dostępnej wersji, która zawiera poprawkę eliminującą brak walidacji nonce. Należy również rozważyć wdrożenie dodatkowych mechanizmów ochrony przed CSRF, takich jak stosowanie tokenów w formularzach.

Oryginalny opis (angielski, źródło NVD)

The BEAR – Bulk Editor and Products Manager Professional for WooCommerce by Pluginus.Net plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.1.5. This is due to missing nonce validation on the woobe_redraw_table_row() function. This makes it possible for unauthenticated attackers to update WooCommerce product data including prices, descriptions, and other product fields via a forged request granted they can trick a site administrator or shop manager into performing an action such as clicking on a link.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS