Plateforme
wordpress
Composant
woo-bulk-editor
Corrigé dans
1.1.6
1.1.6
La vulnérabilité CVE-2026-1673 concerne une faille CSRF (Cross-Site Request Forgery) présente dans le plugin BEAR – Bulk Editor and Products Manager Professional pour WooCommerce, développé par Pluginus.Net. Cette faille permet à un attaquant non authentifié de supprimer des termes de taxonomie WooCommerce, tels que les catégories et les tags, en exploitant une requête forgée. Elle affecte toutes les versions du plugin inférieures ou égales à 1.1.5. Une correction est disponible dans la version 1.1.6.
Un attaquant peut exploiter cette vulnérabilité CSRF pour supprimer des éléments essentiels de la structure de la boutique WooCommerce, tels que des catégories et des tags. Cela peut entraîner une perte de données, une désorganisation du catalogue de produits et une perturbation du fonctionnement de la boutique en ligne. L'attaquant doit inciter un utilisateur authentifié (administrateur ou gestionnaire de boutique) à cliquer sur un lien malveillant ou à visiter une page web spécialement conçue pour déclencher la suppression des termes de taxonomie. La suppression de catégories ou de tags peut rendre certains produits inaccessibles ou perturber le processus de navigation pour les clients.
Cette vulnérabilité a été rendue publique le 2026-04-07. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Aucun proof-of-concept public n'a été largement diffusé, mais la nature CSRF de la vulnérabilité la rend potentiellement exploitable avec des techniques classiques d'ingénierie sociale.
WordPress sites utilizing the BEAR – Bulk Editor and Products Manager Professional for WooCommerce plugin, particularly those with multiple administrators or shop managers, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected, as a compromised site could potentially be used to target other sites on the same server.
• wordpress / composer / npm:
grep -r 'woobe_delete_tax_term' /var/www/html/wp-content/plugins/bear-bulk-editor/• wordpress / composer / npm:
wp plugin list | grep bear-bulk-editor• wordpress / composer / npm:
wp plugin update bear-bulk-editordisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour le plugin BEAR – Bulk Editor and Products Manager Professional pour WooCommerce vers la version 1.1.6 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs ayant accès à la gestion des taxonomie. Il est également recommandé d'activer un plugin de sécurité WordPress qui offre une protection CSRF, ou d'implémenter des règles WAF (Web Application Firewall) pour bloquer les requêtes suspectes. Vérifiez après la mise à jour que les termes de taxonomie critiques n'ont pas été supprimés et que la fonctionnalité de suppression fonctionne correctement.
Mettre à jour vers la version 1.1.6, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1673 est une vulnérabilité CSRF (Cross-Site Request Forgery) affectant le plugin BEAR – Bulk Editor and Products Manager Professional pour WooCommerce, permettant la suppression de termes de taxonomie par un attaquant non authentifié.
Vous êtes affecté si vous utilisez le plugin BEAR – Bulk Editor and Products Manager Professional pour WooCommerce dans une version inférieure ou égale à 1.1.5.
Mettez à jour le plugin BEAR – Bulk Editor and Products Manager Professional pour WooCommerce vers la version 1.1.6 ou supérieure. En attendant, renforcez la sécurité avec un plugin de sécurité ou un WAF.
À ce jour, il n'y a aucune indication d'une exploitation active de CVE-2026-1673, mais la nature CSRF de la vulnérabilité la rend potentiellement exploitable.
Consultez le site web de Pluginus.Net ou le dépôt GitHub du plugin BEAR pour obtenir les informations officielles concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.