Plataforma
wordpress
Componente
woocommerce-germanized
Corregido en
3.20.6
3.20.6
La vulnerabilidad CVE-2026-2582 afecta al plugin Germanized for WooCommerce para WordPress, permitiendo la ejecución arbitraria de shortcodes. Esta falla se debe a una validación insuficiente del parámetro 'account_holder', lo que permite a atacantes no autenticados inyectar y ejecutar código malicioso. Las versiones afectadas son aquellas iguales o inferiores a 3.20.5. Se recomienda actualizar a la versión 3.20.6 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para ejecutar shortcodes arbitrarios en un sitio WordPress que utilice el plugin Germanized for WooCommerce. Esto podría resultar en la ejecución de código malicioso en el servidor, la modificación de contenido del sitio web, la inyección de scripts dañinos o incluso el control completo del sitio. La falta de autenticación necesaria para explotar esta vulnerabilidad amplía significativamente el riesgo, ya que cualquier usuario externo podría potencialmente ejecutar shortcodes maliciosos. La ejecución de shortcodes arbitrarios puede llevar a la exfiltración de datos sensibles, la defacement del sitio web o la instalación de malware.
Esta vulnerabilidad fue publicada el 13 de abril de 2026. No se han reportado campañas de explotación activas a la fecha, pero la falta de autenticación necesaria para la explotación la convierte en un objetivo atractivo. No se ha añadido a KEV. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
Websites using the Germanized for WooCommerce plugin, particularly those running older versions (≤3.20.5), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and security configurations. Sites relying on this plugin for critical e-commerce functionality are also at higher risk.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/germanized-for-woocommerce/*• wordpress / composer / npm:
wp plugin list | grep germanized-for-woocommerce• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/germanized-for-woocommerce/germanized-for-woocommerce.php | grep Versiondisclosure
Estado del Exploit
EPSS
0.11% (30% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Germanized for WooCommerce a la versión 3.20.6 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Revise cuidadosamente el código fuente del plugin en busca de posibles inyecciones de shortcodes. Considere deshabilitar temporalmente el parámetro 'accountholder' si no es esencial para la funcionalidad del sitio. Implemente reglas de firewall (WAF) para bloquear solicitudes que contengan shortcodes sospechosos en el parámetro 'accountholder'.
Actualizar a la versión 3.20.6, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2582 is a medium-severity vulnerability in Germanized for WooCommerce allowing unauthenticated attackers to execute arbitrary shortcodes, potentially leading to site takeover.
You are affected if you are using Germanized for WooCommerce versions 3.20.5 or earlier. Upgrade to 3.20.6 or later to resolve the issue.
Upgrade the Germanized for WooCommerce plugin to version 3.20.6 or later. If upgrading is not possible immediately, disable the plugin or restrict access to the affected functionality.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation suggests potential for future attacks.
Refer to the official Germanized for WooCommerce website or plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.