CVE-2026-9702
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Wtyczka InPost PL dla WordPressa przed wersją 1.9.1 nie weryfikuje, czy żądanie pochodzi od uprawnionego nabywcy, co pozwala nieautoryzowanym atakującym na ciche przekierowanie miejsca dostawy zamówienia WooCommerce.
Ocena ryzyka
Atakujący mogą zmienić miejsce dostawy zamówień, co prowadzi do potencjalnych strat finansowych i naruszenia zaufania klientów.
Rekomendacja
Zaleca się aktualizację wtyczki InPost PL do wersji 1.9.1 lub nowszej, aby zlikwidować tę podatność.
Oryginalny opis (angielski, źródło NVD)
The InPost PL WordPress plugin before 1.9.1 does not verify that the request originates from the legitimate buyer before allowing the WooCommerce order parcel-locker destination to be updated, allowing unauthenticated attackers to silently redirect the shipping destination of any pending or processing order on the site.

