Plataforma
wordpress
Componente
ni-woocommerce-order-export
Corregido en
3.1.7
3.1.7
La vulnerabilidad CVE-2026-4140 es una falla de Cross-Site Request Forgery (CSRF) que afecta al plugin Ni WooCommerce Order Export para WordPress. Esta vulnerabilidad permite a atacantes no autenticados modificar la configuración del plugin, comprometiendo potencialmente la funcionalidad y seguridad de la tienda online. Afecta a todas las versiones del plugin hasta la 3.1.6, y se recomienda actualizar a la versión 3.1.7 o superior para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para modificar la configuración del plugin Ni WooCommerce Order Export sin necesidad de autenticarse en la tienda WordPress. Esto podría incluir la alteración de las opciones de exportación de pedidos, la modificación de las rutas de archivos de exportación o incluso la introducción de código malicioso a través de la configuración del plugin. El impacto potencial es significativo, ya que podría resultar en la pérdida de datos, la modificación de los pedidos exportados o la ejecución de código arbitrario en el servidor WordPress. La falta de validación de nonce en la función AJAX niorderexport_action() es la causa raíz de esta vulnerabilidad, permitiendo que las solicitudes forjadas sean procesadas como legítimas.
La vulnerabilidad fue publicada el 2026-04-21. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad CSRF la hace relativamente fácil de explotar. Es probable que esta vulnerabilidad sea objeto de escaneo automatizado y posible explotación por parte de atacantes. No se encuentra en el KEV catalog de CISA al momento de la redacción.
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Ni WooCommerce Order Export a la versión 3.1.7 o superior, que incluye la corrección de la vulnerabilidad CSRF. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten modificar la configuración del plugin. Asegurarse de que la tienda WordPress tenga una configuración de seguridad robusta, incluyendo la validación de nonce en todas las solicitudes AJAX. Monitorear los logs del servidor WordPress en busca de actividad inusual relacionada con el plugin Ni WooCommerce Order Export.
No hay un parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4140 is a Cross-Site Request Forgery (CSRF) vulnerability in the Ni WooCommerce Order Export plugin for WordPress versions up to 3.1.6. It allows attackers to modify plugin settings without authentication.
You are affected if you are using the Ni WooCommerce Order Export plugin in WordPress and are running version 3.1.6 or earlier. Upgrade to a patched version to resolve the issue.
The recommended fix is to upgrade the Ni WooCommerce Order Export plugin to a version that includes nonce validation. As a temporary workaround, implement a WAF rule to block suspicious AJAX requests.
There is currently no public evidence of CVE-2026-4140 being actively exploited in the wild, but it's crucial to apply the fix to prevent potential future attacks.
Check the Ni WooCommerce Order Export plugin page on the WordPress plugin repository for updates and security advisories related to CVE-2026-4140.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.