Plateforme
wordpress
Composant
woocommerce-germanized
Corrigé dans
3.20.6
3.20.6
Le plugin Germanized for WooCommerce, utilisé pour WordPress, présente une vulnérabilité d'exécution arbitraire de shortcodes. Cette faille permet à des attaquants non authentifiés d'injecter et d'exécuter du code malveillant via le paramètre 'account_holder'. Les versions affectées sont celles inférieures ou égales à 3.20.5. Une correction est disponible dans la version 3.20.6.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié d'exécuter des shortcodes arbitraires sur le site WordPress. Cela peut conduire à l'exécution de code malveillant, à la modification du contenu du site, à la compromission de données sensibles, voire à la prise de contrôle complète du site. L'attaquant pourrait par exemple injecter des shortcodes pour afficher des publicités malveillantes, rediriger les utilisateurs vers des sites malveillants ou même exécuter du code PHP arbitraire. La gravité de l'impact dépendra des privilèges accordés aux shortcodes et de la sensibilité des données stockées sur le site.
Cette vulnérabilité a été rendue publique le 2026-04-13. Il n'y a pas d'indications d'exploitation active à ce jour, mais la nature de la vulnérabilité (exécution de code) la rend potentiellement dangereuse. Aucune mention sur le KEV (CISA KEV) à ce jour. Des preuves de concept (PoC) pourraient être développées et publiées, augmentant le risque d'exploitation.
Websites using the Germanized for WooCommerce plugin, particularly those running older versions (≤3.20.5), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and security configurations. Sites relying on this plugin for critical e-commerce functionality are also at higher risk.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/germanized-for-woocommerce/*• wordpress / composer / npm:
wp plugin list | grep germanized-for-woocommerce• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/germanized-for-woocommerce/germanized-for-woocommerce.php | grep Versiondisclosure
Statut de l'Exploit
EPSS
0.11% (percentile 30%)
CISA SSVC
La mitigation principale consiste à mettre à jour le plugin Germanized for WooCommerce vers la version 3.20.6 ou supérieure. En attendant la mise à jour, il est possible de désactiver temporairement le paramètre 'account_holder' si cela n'affecte pas les fonctionnalités essentielles du site. Il est également recommandé de renforcer les mesures de sécurité WordPress, telles que l'utilisation de mots de passe forts, la limitation des tentatives de connexion et l'activation de l'authentification à deux facteurs. Surveillez les logs du serveur pour détecter toute activité suspecte liée à l'exécution de shortcodes.
Mettre à jour vers la version 3.20.6, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-2582 is a medium-severity vulnerability in Germanized for WooCommerce allowing unauthenticated attackers to execute arbitrary shortcodes, potentially leading to site takeover.
You are affected if you are using Germanized for WooCommerce versions 3.20.5 or earlier. Upgrade to 3.20.6 or later to resolve the issue.
Upgrade the Germanized for WooCommerce plugin to version 3.20.6 or later. If upgrading is not possible immediately, disable the plugin or restrict access to the affected functionality.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation suggests potential for future attacks.
Refer to the official Germanized for WooCommerce website or plugin repository for the latest security advisory and update information.
Vecteur CVSS
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.