Plataforma
wordpress
Componente
woo-conditional-product-fees-for-checkout
Corregido en
4.3.4
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Extra Fees Plugin para WooCommerce. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado, potencialmente modificando las tarifas configuradas. Afecta a las versiones del plugin desde la n/a hasta la 4.3.3, y se ha solucionado en la versión 4.3.4.
Un atacante podría explotar esta vulnerabilidad para modificar las tarifas de envío o los cargos adicionales aplicados a los pedidos de WooCommerce. Esto podría resultar en pérdidas financieras para los clientes o en la manipulación de precios para obtener beneficios ilícitos. El ataque se realiza mediante la creación de una solicitud maliciosa que, al ser ejecutada por un usuario autenticado, modifica la configuración del plugin. La severidad del impacto depende de los privilegios del usuario afectado y de la sensibilidad de las tarifas configuradas.
Esta vulnerabilidad fue publicada el 8 de abril de 2026. No se ha reportado explotación activa en campañas conocidas ni se encuentra en el KEV de CISA. No existen pruebas públicas de concepto (PoC) disponibles en el momento de la redacción, pero la naturaleza de la vulnerabilidad CSRF implica un riesgo potencial si no se mitiga.
Estado del Exploit
EPSS
0.01% (3% percentil)
Vector CVSS
La mitigación principal es actualizar el plugin Extra Fees Plugin para WooCommerce a la versión 4.3.4 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación de tokens CSRF en todas las solicitudes que modifiquen la configuración del plugin. Además, se puede considerar el uso de un Web Application Firewall (WAF) para bloquear solicitudes sospechosas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor y verificando la configuración del plugin.
Actualizar a la versión 4.3.4 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39671 describes a Cross-Site Request Forgery (CSRF) vulnerability in the Dotstore Extra Fees Plugin for WooCommerce, allowing attackers to perform unauthorized actions. It affects versions 0.0 through 4.3.3 and has a HIGH severity rating.
You are affected if you are using the Dotstore Extra Fees Plugin for WooCommerce version 0.0 to 4.3.3. Check your plugin version immediately using wp plugin list.
Upgrade the Extra Fees Plugin for WooCommerce to version 4.3.4 or later. If upgrading is not immediately possible, implement temporary workarounds like CSRF tokens and WAF rules.
Currently, there are no publicly known active exploitation campaigns targeting CVE-2026-39671. However, due to the ease of CSRF exploitation, it's crucial to patch promptly.
Refer to the official Dotstore Extra Fees Plugin website or the WooCommerce plugin repository for the latest security advisory and update information regarding CVE-2026-39671.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.