Plataforma
wordpress
Componente
woo-product-feed-pro
Corregido en
13.5.3
La vulnerabilidad CVE-2026-3499 es una Cross-Site Request Forgery (CSRF) que afecta al plugin Product Feed PRO para WooCommerce de AdTribes. Esta falla permite a atacantes no autenticados ejecutar acciones sensibles en el sitio web, como la migración de feeds, a través de solicitudes fraudulentas. La vulnerabilidad se encuentra presente en las versiones 13.4.6 hasta la 13.5.2.1. Se recomienda actualizar a la versión 13.5.2.2 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para realizar acciones no autorizadas en el sitio web de WooCommerce sin la necesidad de autenticarse. Esto incluye la migración de feeds, la limpieza de cachés de atributos personalizados, la modificación de URLs de archivos de feed y la activación/desactivación de filtros y reglas. El impacto puede ser significativo, ya que un atacante podría alterar la configuración del plugin, comprometer la integridad de los datos del producto y afectar la funcionalidad del sitio web. La falta de validación de nonce en las funciones afectadas facilita la ejecución de estas acciones maliciosas.
La vulnerabilidad CVE-2026-3499 fue publicada el 7 de abril de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la publicación. La existencia de una vulnerabilidad CSRF, especialmente en plugins de WooCommerce, presenta un riesgo significativo debido a la amplia adopción de la plataforma y la posibilidad de explotación a gran escala. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias.
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Product Feed PRO para WooCommerce a la versión 13.5.2.2 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la restricción del acceso a las funciones afectadas a través de reglas de firewall de aplicaciones web (WAF) o proxies inversos, bloqueando solicitudes POST que no contengan un nonce válido. Además, se puede implementar una auditoría más estricta de las solicitudes entrantes para detectar patrones sospechosos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor y realizando pruebas de seguridad.
Actualizar a la versión 13.5.2.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3499 is a Cross-Site Request Forgery (CSRF) vulnerability affecting Product Feed PRO for WooCommerce versions 13.4.6–13.5.2.1, allowing unauthorized actions via crafted requests.
You are affected if you are using Product Feed PRO for WooCommerce versions 13.4.6 through 13.5.2.1. Upgrade to 13.5.2.2 or later to mitigate the risk.
Upgrade the plugin to version 13.5.2.2 or later. As a temporary workaround, implement a WAF with CSRF protection rules targeting the vulnerable AJAX endpoints.
Currently, there are no publicly known active campaigns exploiting this vulnerability, but monitoring is recommended.
Refer to the AdTribes website and the WordPress plugin repository for the latest security advisory and update information regarding CVE-2026-3499.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.