Katalog CVE

CVE-2026-9702

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Wtyczka InPost PL dla WordPressa przed wersją 1.9.1 nie weryfikuje, czy żądanie pochodzi od uprawnionego nabywcy, co pozwala nieautoryzowanym atakującym na ciche przekierowanie miejsca dostawy zamówienia WooCommerce.

Ocena ryzyka

Atakujący mogą zmienić miejsce dostawy zamówień, co prowadzi do potencjalnych strat finansowych i naruszenia zaufania klientów.

Rekomendacja

Zaleca się aktualizację wtyczki InPost PL do wersji 1.9.1 lub nowszej, aby zlikwidować tę podatność.

Oryginalny opis (angielski, źródło NVD)

The InPost PL WordPress plugin before 1.9.1 does not verify that the request originates from the legitimate buyer before allowing the WooCommerce order parcel-locker destination to be updated, allowing unauthenticated attackers to silently redirect the shipping destination of any pending or processing order on the site.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS