Plataforma
wordpress
Componente
customer-reviews-woocommerce
Corregido en
5.103.1
5.104.0
El plugin Customer Reviews for WooCommerce para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta la 5.103.0. Esta vulnerabilidad se debe a una comparación insegura de claves, permitiendo a un atacante crear reseñas sin la debida autenticación. La actualización a la versión 5.104.0 soluciona este problema, protegiendo la integridad de las reseñas y la seguridad del sitio web.
Un atacante puede explotar esta vulnerabilidad para crear reseñas falsas en un sitio web de WordPress que utiliza el plugin Customer Reviews for WooCommerce. Al omitir la autenticación, el atacante puede manipular las valoraciones y comentarios de los productos, dañando la reputación del sitio y engañando a los clientes. La falta de validación de la clave secreta permite la creación de reseñas sin la necesidad de ser un cliente legítimo, lo que puede llevar a la difusión de información falsa o maliciosa. Este bypass de autenticación podría ser utilizado para campañas de reseñas negativas coordinadas o para insertar enlaces maliciosos dentro de las reseñas.
Este CVE fue publicado el 2026-04-10. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza del bypass de autenticación lo convierte en un objetivo potencial para actores maliciosos. Se recomienda monitorear activamente los sitios web afectados en busca de actividad sospechosa.
Websites using the Customer Reviews for WooCommerce plugin, particularly those with a large number of customer reviews or those relying heavily on customer feedback for sales. Shared hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites on the same server.
• wordpress / composer / npm:
grep -r "create_review_permissions_check" /var/www/html/wp-content/plugins/customer-reviews-for-woocommerce/• wordpress / composer / npm:
wp plugin list --status=all | grep customer-reviews-for-woocommerce• wordpress / composer / npm:
wp plugin update customer-reviews-for-woocommerce --alldisclosure
Estado del Exploit
EPSS
0.18% (39% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Customer Reviews for WooCommerce a la versión 5.104.0 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan key: "" en la URL o en el cuerpo de la solicitud. Verifique que la función createreviewpermissions_check() se haya actualizado correctamente después de la actualización, confirmando que la validación de la clave secreta se realiza de forma segura.
Actualizar a la versión 5.104.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4664 es una vulnerabilidad de bypass de autenticación en el plugin Customer Reviews for WooCommerce para WordPress que permite a atacantes crear reseñas sin autenticación.
Si está utilizando el plugin Customer Reviews for WooCommerce en una versión anterior a 5.104.0, es vulnerable a esta vulnerabilidad.
Actualice el plugin Customer Reviews for WooCommerce a la versión 5.104.0 o superior. Considere implementar reglas de WAF como medida temporal.
No se han reportado explotaciones activas al momento de la redacción, pero la vulnerabilidad es un objetivo potencial.
Consulte el sitio web oficial del plugin Customer Reviews for WooCommerce o el repositorio de WordPress para obtener la información más reciente.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.