Plataforma
wordpress
Componente
woo-custom-product-addons
Corregido en
3.1.1
La vulnerabilidad CVE-2026-2296 es una inyección de código que afecta al plugin Product Addons for Woocommerce – Product Options with Custom Fields para WordPress. Esta falla permite a atacantes autenticados con privilegios de Shop Manager o superiores, ejecutar código PHP arbitrario en el servidor. La vulnerabilidad se encuentra presente en todas las versiones hasta la 3.1.0, y se ha solucionado en la versión 3.1.1.
Un atacante con acceso de Shop Manager o superior puede explotar esta vulnerabilidad para inyectar y ejecutar código PHP malicioso en el servidor WordPress. Esto podría resultar en la toma de control completa del sitio web, robo de datos sensibles (información de clientes, datos de productos, credenciales de administrador), modificación de contenido, o incluso el uso del servidor para lanzar ataques a otros sistemas. La ejecución de código arbitrario permite una amplia gama de acciones maliciosas, similar a otras vulnerabilidades de inyección de código que han afectado a plataformas de comercio electrónico.
Esta vulnerabilidad fue publicada el 18 de febrero de 2026. No se ha reportado su inclusión en el KEV de CISA ni se conocen campañas de explotación activas en el momento de la redacción. La existencia de una función eval() con entrada no validada es un patrón común en vulnerabilidades de inyección de código, y es probable que sea objeto de escaneo automatizado.
WooCommerce store owners using the Product Addons for Woocommerce – Product Options with Custom Fields plugin are at risk. Specifically, those running versions 0.0.0 through 3.1.0 are vulnerable. Shared hosting environments where multiple WordPress installations share the same server resources are particularly susceptible, as a compromise of one site could potentially impact others.
• wordpress / plugin:
wp plugin list | grep 'Product Addons for Woocommerce'• wordpress / plugin: Check plugin version. If < 3.1.1, the system is vulnerable.
wp plugin version Product Addons for Woocommerce• wordpress / plugin: Examine the evalConditions() function in the plugin's code for unsanitized user input.
• wordpress / server: Review WordPress access logs for suspicious requests containing PHP code in the 'operator' parameter within conditional logic settings.
disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Product Addons for Woocommerce – Product Options with Custom Fields a la versión 3.1.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede restringir el acceso al panel de administración de WordPress a usuarios de confianza y revisar cuidadosamente las reglas de lógica condicional para identificar posibles puntos de inyección. Implementar un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear intentos de inyección de código PHP también puede ayudar a mitigar el riesgo.
Actualizar a la versión 3.1.1, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2296 is a code injection vulnerability affecting the Product Addons for Woocommerce plugin, allowing attackers with Shop Manager access to execute arbitrary PHP code.
Yes, if you are using Product Addons for Woocommerce versions 0.0.0 through 3.1.0, you are vulnerable to this code injection flaw.
Upgrade the Product Addons for Woocommerce plugin to version 3.1.1 or later to resolve the vulnerability.
There is currently no evidence of active exploitation, but the vulnerability's severity and ease of exploitation suggest a potential for future attacks.
Refer to the official Product Addons for Woocommerce documentation and WordPress security announcements for the latest advisory information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.