CVE-2026-57677
KrytyczneCVSS 9.8Streszczenie
Wtyczka Novalnet Payment Gateway dla WooCommerce w wersji 12.10.3 i starszych zawiera podatność na nieuwierzytelnione wstrzykiwanie obiektów PHP. Atakujący może zdalnie wysłać spreparowane żądanie, co prowadzi do wykonania dowolnego kodu PHP na serwerze.
Ocena ryzyka
Ryzyko obejmuje całkowite przejęcie kontroli nad serwerem, kradzież danych klientów oraz modyfikację treści sklepu. Atak nie wymaga uwierzytelnienia, co ułatwia jego przeprowadzenie.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Novalnet Payment Gateway dla WooCommerce do wersji 12.10.4 lub nowszej. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz wtyczkę.
Oryginalny opis (angielski, źródło NVD)
Unauthenticated PHP Object Injection in Novalnet Payment Gateway for WooCommerce <= 12.10.3 versions.

