Katalog CVE

CVE-2026-9234

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka JTL-Connector dla WooCommerce w WordPressie jest podatna na brak autoryzacji w wersjach do 2.4.1 włącznie. Problem wynika z braku sprawdzania uprawnień i weryfikacji nonce w akcjach admin_post_settings_save_woo-jtl-connector oraz wp_ajax_downloadJTLLogs i wp_ajax_clearJTLLogs.

Ocena ryzyka

Atakujący z poziomem dostępu Subskrybenta lub wyższym może modyfikować dowolne ustawienia wtyczki, pobierać archiwum ZIP z plikami logów dewelopera oraz usuwać te pliki. Może to prowadzić do nieautoryzowanych zmian w konfiguracji i utraty danych.

Rekomendacja

Zaleca się aktualizację wtyczki JTL-Connector do najnowszej wersji, aby usunąć lukę w autoryzacji. Dodatkowo, warto wprowadzić dodatkowe kontrole uprawnień dla krytycznych akcji wtyczki.

Oryginalny opis (angielski, źródło NVD)

The JTL-Connector for WooCommerce plugin for WordPress is vulnerable to Missing Authorization in versions up to, and including, 2.4.1. This is due to missing capability checks and nonce verification on the admin_post_settings_save_woo-jtl-connector action (handled by JtlConnectorAdmin::save()) and on the wp_ajax_downloadJTLLogs and wp_ajax_clearJTLLogs AJAX actions (handled by the global downloadJTLLogs() and clearJTLLogs() functions). This makes it possible for authenticated attackers, with Subscriber-level access and above, to modify arbitrary plugin settings, download a ZIP archive of the connector's developer log files, and delete those log files.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS