Plateforme
wordpress
Composant
products-rearrange-woocommerce
Corrigé dans
1.2.3
Une vulnérabilité d'injection SQL (SQL Injection) a été découverte dans le plugin Product Rearrange for WooCommerce. Cette faille, due à une neutralisation incorrecte des caractères spéciaux dans les requêtes SQL, permet à un attaquant d'exécuter des requêtes SQL arbitraires, potentiellement aveugles. Elle affecte les versions du plugin antérieures ou égales à 1.2.2. Une mise à jour vers la dernière version est recommandée pour corriger cette faille.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter des requêtes SQL malveillantes dans la base de données de WooCommerce. En raison de la nature « aveugle » de l'injection, l'attaquant peut ne pas voir directement les résultats des requêtes, mais peut néanmoins extraire des informations sensibles, modifier des données ou même prendre le contrôle de la base de données. Les données à risque incluent les informations sur les produits, les détails des clients, les commandes et les informations de connexion. Un attaquant pourrait potentiellement utiliser cette vulnérabilité pour compromettre l'ensemble du site WordPress, en particulier si les informations d'identification de la base de données sont mal sécurisées. Cette vulnérabilité présente un risque élevé de compromission des données et de perturbation du service.
Cette vulnérabilité a été publiée le 25 mars 2026. Il n'y a pas d'indications d'exploitation active à ce jour, mais la nature critique de la vulnérabilité et la facilité potentielle d'exploitation la rendent susceptible d'être ciblée. Il n'est pas listé sur KEV à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la popularité du plugin et de la simplicité de l'injection SQL aveugle.
Websites using the Product Rearrange for WooCommerce plugin, particularly those running older, unpatched versions (n/a through 1.2.2), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "product_rearrange_woocommerce" /var/www/html/wp-content/plugins/
wp plugin list | grep product_rearrange_woocommerce• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/product-rearrange-woocommerce/ | grep -i 'product-rearrange-woocommerce'disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour le plugin Product Rearrange for WooCommerce vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en place. Il est possible de renforcer la validation des entrées utilisateur pour empêcher l'injection de caractères spéciaux. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'injection SQL. Vérifiez également les permissions de la base de données pour limiter l'accès aux données sensibles. Après la mise à jour, vérifiez l'intégrité du plugin et effectuez des tests de pénétration pour confirmer que la vulnérabilité a été corrigée.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-31920 is a critical SQL Injection vulnerability affecting Product Rearrange for WooCommerce versions up to 1.2.2, allowing attackers to potentially extract data from the database.
If you are using Product Rearrange for WooCommerce versions prior to the patched version (currently unknown), you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade to the latest version of Product Rearrange for WooCommerce as soon as a patch is released. Until then, disable the plugin or implement input validation and WAF rules.
While no active exploitation has been confirmed, the vulnerability's severity and the nature of blind SQL injection suggest it is a high-priority target for attackers.
Refer to the official Product Rearrange for WooCommerce website or the WooCommerce plugin repository for updates and security advisories related to CVE-2026-31920.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.