Plataforma
wordpress
Componente
woo-bulk-editor
Corregido en
1.1.6
1.1.6
La vulnerabilidad CVE-2026-1672 afecta al plugin BEAR – Bulk Editor and Products Manager Professional for WooCommerce de Pluginus.Net para WordPress. Esta es una vulnerabilidad de Cross-Site Request Forgery (CSRF) que permite a un atacante, sin autenticación, modificar datos de productos de WooCommerce. La vulnerabilidad está presente en todas las versiones hasta la 1.1.5, y se ha solucionado en la versión 1.1.6.
Un atacante puede explotar esta vulnerabilidad para modificar datos críticos de los productos de WooCommerce, como precios, descripciones, imágenes y otros campos. Esto podría resultar en pérdidas financieras, daños a la reputación de la tienda y manipulación de la información del producto. El ataque requiere que el atacante pueda engañar a un administrador o gerente de la tienda para que realice una acción, como hacer clic en un enlace malicioso. La falta de validación de nonce en la función wooberedrawtable_row() es la causa raíz de la vulnerabilidad.
La vulnerabilidad fue publicada el 7 de abril de 2026. No se han reportado casos de explotación activa en el mundo real hasta la fecha. La vulnerabilidad no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. Se recomienda monitorear la situación y aplicar las medidas de mitigación necesarias.
WordPress websites utilizing the BEAR – Bulk Editor and Products Manager Professional for WooCommerce plugin, particularly those with multiple administrators or shop managers, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable if one site is running an outdated version of the plugin.
• wordpress / composer / npm:
wp plugin list | grep Pluginus.Net• wordpress / composer / npm:
wp plugin update BEAR --all• wordpress / composer / npm:
grep -r 'woobe_redraw_table_row()' /var/www/html/wp-content/plugins/bear-bulk-editor/disclosure
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin BEAR – Bulk Editor and Products Manager Professional for WooCommerce a la versión 1.1.6 o superior. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación, como restringir el acceso a las funciones de edición de productos a usuarios autenticados y con privilegios limitados. Implementar una política de seguridad de contraseñas robusta y habilitar la autenticación de dos factores (2FA) para los administradores también puede ayudar a reducir el riesgo. Además, se recomienda revisar los registros del servidor en busca de actividad sospechosa.
Actualizar a la versión 1.1.6, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1672 is a Cross-Site Request Forgery (CSRF) vulnerability in the BEAR WooCommerce plugin for WordPress, affecting versions up to 1.1.5. It allows attackers to manipulate product data via forged requests.
You are affected if you are using the BEAR WooCommerce plugin version 1.1.5 or earlier. Check your plugin version and upgrade immediately.
Upgrade the BEAR WooCommerce plugin to version 1.1.6 or later. This resolves the missing nonce validation issue.
There are currently no known public exploits or active campaigns targeting this vulnerability, but it remains a risk due to the nature of CSRF attacks.
Refer to the Pluginus.Net website and WordPress plugin repository for the latest information and updates regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.