CVE-2026-8904
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
Wtyczka FastPicker, system do zarządzania zamówieniami dla WooCommerce, jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 1.0.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji settingsPage, co pozwala nieautoryzowanym atakującym na modyfikację ustawień wtyczki.
Ocena ryzyka
Atakujący może zmusić administratora strony do wykonania akcji, co umożliwia zmianę ustawień wtyczki, w tym integracji webhook oraz adresów URL API. To stwarza ryzyko nieautoryzowanego dostępu do krytycznych funkcji wtyczki.
Rekomendacja
Zaleca się aktualizację wtyczki FastPicker do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe środki zabezpieczające, takie jak weryfikacja nonce w niestandardowych funkcjach.
Oryginalny opis (angielski, źródło NVD)
The FastPicker, an order picker and order management system (oms) for WooCommerce on steroids plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.0.2. This is due to missing or incorrect nonce validation on the settingsPage function. This makes it possible for unauthenticated attackers to modify the plugin's settings, including toggling the webhook integration and changing the FastPicker and KDZ API URLs via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.

