CVE-2026-11568
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
Wtyczka Product Configurator for WooCommerce dla WordPressa przed wersją 1.7.3 nie przeprowadza autoryzacji ani nie sprawdza statusu publikacji przed zwróceniem danych produktów WooCommerce przez publiczną akcję AJAX. Umożliwia to nieuwierzytelnionym użytkownikom pobranie danych (tytuł, cena, waga, status magazynowy oraz opcje konfiguratora z cenami/SKU) prywatnych i szkicowych produktów poprzez podanie ich identyfikatora, omijając kontrolę widoczności postów WordPress.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych danych produktów, takich jak ceny, wagi i szczegóły konfiguratora, które mogą być wykorzystane przez konkurencję lub osoby nieuprawnione do uzyskania przewagi rynkowej lub manipulacji.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Product Configurator for WooCommerce do wersji 1.7.3 lub nowszej, która zawiera poprawkę eliminującą brak autoryzacji i sprawdzania statusu publikacji.
Oryginalny opis (angielski, źródło NVD)
The Product Configurator for WooCommerce WordPress plugin before 1.7.3 does not perform any authorisation or post-status check before returning WooCommerce product data through a public AJAX action, allowing unauthenticated users to retrieve the data (title, price, weight, stock status, and configurator option pricing/SKUs) of private and draft, non-public products by supplying the product ID. WordPress post-visibility controls are bypassed.

