Plateforme
wordpress
Composant
webd-woocommerce-advanced-reporting-statistics
Corrigé dans
4.1.4
Une vulnérabilité d'injection SQL (SQL Injection) a été découverte dans le plugin Advanced WooCommerce Product Sales Reporting de WPFactory. Cette faille, due à une neutralisation incorrecte des caractères spéciaux dans les requêtes SQL, permet à un attaquant de réaliser une injection SQL aveugle. Elle affecte les versions du plugin comprises entre 0.0.0 et 4.1.3. Une version corrigée, 4.1.4, est désormais disponible.
L'injection SQL aveugle permet à un attaquant d'extraire des informations sensibles de la base de données, même sans voir directement les résultats des requêtes. L'attaquant peut potentiellement accéder à des données clients, des informations de commandes, des données financières et d'autres informations confidentielles stockées dans la base de données WordPress. Bien que l'exploitation soit plus complexe qu'une injection SQL classique, elle peut être utilisée pour contourner les mécanismes d'authentification, modifier des données ou même prendre le contrôle du serveur WordPress. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans nécessiter d'authentification préalable, rendant le plugin une cible attrayante pour les attaquants.
Cette vulnérabilité a été rendue publique le 25 mars 2026. Il n'y a pas d'indications d'exploitation active à ce jour, mais la gravité élevée de la vulnérabilité (CVSS 9.3) suggère qu'elle pourrait être rapidement exploitée. Il est conseillé de surveiller les forums de sécurité et les sites de partage de vulnérabilités pour détecter l'émergence de preuves d'exploitation. Bien qu'elle ne soit pas encore répertoriée sur le KEV de CISA, sa criticité justifie une attention particulière.
WooCommerce store owners using the Advanced WooCommerce Product Sales Reporting plugin, particularly those running versions 0.0.0 through 4.1.3, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.
• wordpress / composer / npm:
grep -r "WPFactory Advanced WooCommerce Product Sales Reporting" /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/advanced-woocommerce-product-sales-reporting/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep advanced-woocommerce-product-sales-reportingdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mesure la plus importante est de mettre à jour immédiatement Advanced WooCommerce Product Sales Reporting vers la version 4.1.4 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le plugin. En attendant, une solution de contournement consiste à utiliser un pare-feu applicatif web (WAF) pour filtrer les requêtes suspectes contenant des caractères SQL potentiellement malveillants. Vérifiez également les logs d'accès et d'erreurs de votre serveur WordPress pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité du plugin en comparant son hachage MD5 avec celui fourni par WPFactory.
Mettre à jour vers la version 4.1.4, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24993 is a critical SQL Injection vulnerability affecting Advanced WooCommerce Product Sales Reporting versions 0.0.0–4.1.3, allowing attackers to potentially extract sensitive data.
If you are using Advanced WooCommerce Product Sales Reporting versions 0.0.0 through 4.1.3, you are vulnerable to this SQL Injection flaw.
Upgrade to version 4.1.4 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the WPFactory website and the WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.