CVE-2026-2631
KrytyczneStreszczenie
Wtyczka Datalogics Ecommerce Delivery dla WordPressa przed wersją 2.6.60 udostępnia nieautoryzowany punkt końcowy REST, który pozwala zdalnym użytkownikom na modyfikację opcji `datalogics_token` bez weryfikacji. Token ten jest następnie używany do autoryzacji w chronionym punkcie końcowym, co umożliwia wykonywanie dowolnych operacji `update_option()` w WordPressie.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do włączenia rejestracji użytkowników oraz ustawienia domyślnej roli jako Administrator, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację wtyczki Datalogics Ecommerce Delivery do wersji 2.6.60 lub nowszej oraz monitorowanie i ograniczenie dostępu do punktów końcowych REST w celu zminimalizowania ryzyka.
Oryginalny opis (angielski, źródło NVD)
The Datalogics Ecommerce Delivery WordPress plugin before 2.6.60 exposes an unauthenticated REST endpoint that allows any remote user to modify the option `datalogics_token` without verification. This token is subsequently used for authentication in a protected endpoint that allows users to perform arbitrary WordPress `update_option()` operations. Attackers can use this to enable registartion and to set the default role as Administrator.

