Plateforme
wordpress
Composant
ecwid-shopping-cart
Corrigé dans
7.0.8
La vulnérabilité CVE-2026-1750 affecte le plugin Ecwid by Lightspeed Ecommerce Shopping Cart pour WordPress. Elle permet une élévation de privilèges, permettant à des attaquants authentifiés, même avec des permissions limitées comme un abonné, d'accéder aux fonctions de gestionnaire de boutique. Les versions concernées sont celles allant de 0.0.0 à 7.0.7 inclus. Une correction est disponible dans la version 7.0.8.
Cette vulnérabilité permet à un attaquant authentifié, disposant de permissions minimales (par exemple, un abonné WordPress), de contourner les contrôles d'accès et d'obtenir un accès de gestionnaire de boutique Ecwid. L'attaquant peut alors modifier les paramètres de la boutique, accéder aux données sensibles des clients, effectuer des transactions frauduleuses et potentiellement compromettre l'ensemble du site WordPress. L'impact est significatif car il permet à un utilisateur non autorisé de prendre le contrôle d'une partie critique de l'application e-commerce. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la simplicité de l'exploitation potentielle rend cette vulnérabilité particulièrement préoccupante.
La vulnérabilité CVE-2026-1750 a été publiée le 15 février 2026. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Aucun proof-of-concept (PoC) public n'est actuellement disponible, mais la simplicité de l'exploitation potentielle suggère un risque modéré d'exploitation future. La vulnérabilité est classée comme de haute sévérité (CVSS 8.8).
Websites utilizing the Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress, particularly those with a large number of subscriber-level users or those who have not implemented robust user role management practices, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially lead to lateral movement and exploitation of other sites using the vulnerable plugin.
• wordpress / composer / npm:
grep -r 'ec_store_admin_access' /var/www/html/wp-content/plugins/ecwid/includes/user-profile.php• wordpress / composer / npm:
wp plugin list | grep ecwid• wordpress / composer / npm:
wp plugin update ecwiddisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Ecwid by Lightspeed Ecommerce Shopping Cart vers la version 7.0.8 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès aux profils utilisateurs et de surveiller attentivement les activités suspectes. En attendant la mise à jour, il n'existe pas de contournement de configuration connu. Après la mise à jour, vérifiez que les permissions des utilisateurs sont correctement configurées et que les accès de gestionnaire de boutique sont strictement contrôlés.
Mettre à jour vers la version 7.0.8, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1750 is a HIGH severity vulnerability affecting the Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress. It allows attackers with subscriber permissions to gain store manager access due to a missing capability check.
You are affected if you are using Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress versions 0.0.0 through 7.0.7. Upgrade to 7.0.8 or later to mitigate the risk.
The recommended fix is to upgrade the Ecwid plugin to version 7.0.8 or later. If immediate upgrade is not possible, restrict user permissions to limit the potential impact.
There is currently no evidence of active exploitation in the wild, but the vulnerability has been added to the CISA KEV catalog, indicating a potential risk.
Refer to the official Ecwid security advisory for detailed information and updates: [https://www.ecwid.com/security/advisories](https://www.ecwid.com/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.