CVE-2026-6962: XSS in Cost of Goods WooCommerce Plugin
Plattform
wordpress
Komponente
cost-of-goods-for-woocommerce
Behoben in
4.1.1
CVE-2026-6962 describes a stored Cross-Site Scripting (XSS) vulnerability discovered in the Cost of Goods: Product Cost & Profit Calculator for WooCommerce plugin. This vulnerability allows authenticated attackers with contributor-level access or higher to inject arbitrary web scripts. The vulnerability impacts versions of the plugin up to and including 4.1.0, and a patch is available in version 4.1.1.
Erkenne diese CVE in deinem Projekt
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Auswirkungen und Angriffsszenarien
Successful exploitation of CVE-2026-6962 allows an attacker to execute arbitrary JavaScript code within the context of a user's browser when they view a page containing the injected script. This can lead to session hijacking, defacement of the website, redirection to malicious sites, or theft of sensitive information such as user credentials or personal data. The attacker needs contributor-level access to inject the script, limiting the scope of the attack but still posing a significant risk, especially in environments with poorly managed user permissions. The impact is amplified if the injected script targets administrators or users with elevated privileges.
Ausnutzungskontext
CVE-2026-6962 was published on 2026-05-12. Its severity is rated as Medium. No public exploits or active campaigns targeting this vulnerability have been reported as of this date. The vulnerability is not currently listed on KEV or EPSS, indicating a low probability of immediate exploitation. Refer to the official WooCommerce security advisory for further details.
Bedrohungsanalyse
Exploit-Status
EPSS
0.03% (10% Perzentil)
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
- Privileges Required
- Niedrig — jedes gültige Benutzerkonto ist ausreichend.
- User Interaction
- Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
- Scope
- Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
- Confidentiality
- Niedrig — partieller oder indirekter Zugriff auf einige Daten.
- Integrity
- Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
- Availability
- Keine — kein Verfügbarkeitseinfluss.
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
- EPSS aktualisiert
Mitigation und Workarounds
The primary mitigation for CVE-2026-6962 is to upgrade the Cost of Goods: Product Cost & Profit Calculator for WooCommerce plugin to version 4.1.1 or later. If immediate upgrading is not possible due to compatibility issues or testing requirements, consider restricting access to the shortcodes 'algwccogproductcost' and 'algwccogproductprofit' to trusted users only. Implement a Web Application Firewall (WAF) with rules to detect and block XSS payloads targeting these shortcodes. Regularly review user permissions and ensure the principle of least privilege is enforced.
So beheben
Aktualisieren Sie auf Version 4.1.1 oder eine neuere gepatchte Version
Häufig gestellte Fragen
What is CVE-2026-6962 — XSS in Cost of Goods WooCommerce Plugin?
CVE-2026-6962 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Cost of Goods: Product Cost & Profit Calculator for WooCommerce plugin for WordPress. It allows authenticated attackers to inject malicious scripts via specific shortcodes.
Am I affected by CVE-2026-6962 in Cost of Goods WooCommerce Plugin?
You are affected if you are using the Cost of Goods: Product Cost & Profit Calculator for WooCommerce plugin in versions 4.1.0 or earlier. Check your plugin version and upgrade immediately if vulnerable.
How do I fix CVE-2026-6962 in Cost of Goods WooCommerce Plugin?
Upgrade the Cost of Goods: Product Cost & Profit Calculator for WooCommerce plugin to version 4.1.1 or later. As a temporary workaround, restrict access to the vulnerable shortcodes.
Is CVE-2026-6962 being actively exploited?
As of the current date, there are no reports of active exploitation campaigns targeting CVE-2026-6962. However, it's crucial to apply the patch promptly to prevent potential future attacks.
Where can I find the official Cost of Goods advisory for CVE-2026-6962?
Refer to the official WooCommerce security advisory and the Cost of Goods plugin developer's website for the latest information and updates regarding CVE-2026-6962.
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Erkenne diese CVE in deinem Projekt
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto
Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.
Abhängigkeitsdatei hier ablegen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...