Plataforma
wordpress
Componente
woo-bulk-editor
Corregido en
1.1.6
1.1.6
La vulnerabilidad CVE-2026-1673 afecta al plugin BEAR – Bulk Editor and Products Manager Professional for WooCommerce de Pluginus.Net para WordPress. Esta vulnerabilidad de Cross-Site Request Forgery (CSRF) permite a atacantes no autenticados eliminar términos de taxonomía de WooCommerce, como categorías y etiquetas. La vulnerabilidad se encuentra presente en todas las versiones hasta la 1.1.5, y se ha solucionado en la versión 1.1.6.
Un atacante puede explotar esta vulnerabilidad para eliminar términos de taxonomía de WooCommerce, lo que puede interrumpir la organización del catálogo de productos y afectar la experiencia del usuario. La eliminación de categorías o etiquetas cruciales podría impedir que los clientes encuentren productos específicos, generando confusión y potencialmente pérdidas de ventas. Dado que la vulnerabilidad requiere una solicitud forjada, el atacante debe engañar a un administrador o gerente de tienda para que realice la acción, por ejemplo, a través de un enlace malicioso. Aunque la severidad es moderada, el impacto en la gestión del catálogo y la posible interrupción del negocio son significativos.
El CVE-2026-1673 fue publicado el 7 de abril de 2026. No se han reportado activamente campañas de explotación a gran escala, pero la naturaleza de la vulnerabilidad CSRF la hace susceptible a ataques dirigidos. La probabilidad de explotación se considera moderada, ya que requiere la interacción del usuario. No se ha añadido a la lista KEV de CISA.
WordPress sites utilizing the BEAR – Bulk Editor and Products Manager Professional for WooCommerce plugin, particularly those with multiple administrators or shop managers, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected, as a compromised site could potentially be used to target other sites on the same server.
• wordpress / composer / npm:
grep -r 'woobe_delete_tax_term' /var/www/html/wp-content/plugins/bear-bulk-editor/• wordpress / composer / npm:
wp plugin list | grep bear-bulk-editor• wordpress / composer / npm:
wp plugin update bear-bulk-editordisclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin BEAR – Bulk Editor and Products Manager Professional for WooCommerce a la versión 1.1.6 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar una política de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar recursos, lo que dificulta la ejecución de solicitudes CSRF. Además, revise los permisos de usuario y asegúrese de que solo los usuarios autorizados tengan acceso a la gestión de taxonomías.
Actualizar a la versión 1.1.6, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1673 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin BEAR WooCommerce Professional para WordPress, que permite a atacantes borrar términos de taxonomía de WooCommerce.
Sí, si está utilizando el plugin BEAR WooCommerce Professional en versiones anteriores a 1.1.6, es vulnerable a esta vulnerabilidad.
Actualice el plugin BEAR WooCommerce Professional a la versión 1.1.6 o superior para mitigar el riesgo de CSRF.
Aunque no se han reportado campañas de explotación a gran escala, la naturaleza de la vulnerabilidad CSRF la hace susceptible a ataques dirigidos.
Consulte el sitio web de Pluginus.Net o el repositorio del plugin en WordPress.org para obtener el aviso oficial y las instrucciones de actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.