CVE-2026-1672
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
Wtyczka BEAR – Bulk Editor and Products Manager Professional dla WooCommerce do WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 1.1.5 włącznie. Brak walidacji nonce w funkcji woobe_redraw_table_row() umożliwia nieuwierzytelnionym atakującym aktualizację danych produktów WooCommerce, takich jak ceny, opisy i inne pola produktu, poprzez sfałszowane żądanie, pod warunkiem że nakłonią administratora lub menedżera sklepu do wykonania akcji, np. kliknięcia w link.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanej modyfikacji danych produktów w sklepie WooCommerce, co może prowadzić do manipulacji cenami, opisami i innymi kluczowymi informacjami, wpływając na integralność sklepu i zaufanie klientów.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki BEAR – Bulk Editor and Products Manager Professional do najnowszej dostępnej wersji, która zawiera poprawkę eliminującą brak walidacji nonce. Należy również rozważyć wdrożenie dodatkowych mechanizmów ochrony przed CSRF, takich jak stosowanie tokenów w formularzach.
Oryginalny opis (angielski, źródło NVD)
The BEAR – Bulk Editor and Products Manager Professional for WooCommerce by Pluginus.Net plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.1.5. This is due to missing nonce validation on the woobe_redraw_table_row() function. This makes it possible for unauthenticated attackers to update WooCommerce product data including prices, descriptions, and other product fields via a forged request granted they can trick a site administrator or shop manager into performing an action such as clicking on a link.

