Plateforme
wordpress
Composant
ni-woocommerce-order-export
Corrigé dans
3.1.7
3.1.7
La vulnérabilité CVE-2026-4140 affecte le plugin Ni WooCommerce Order Export pour WordPress, et permet une attaque par Cross-Site Request Forgery (CSRF). Cette faille permet à un attaquant non authentifié de modifier les paramètres du plugin en créant une requête malveillante. Les versions concernées sont celles inférieures ou égales à 3.1.6. Une mise à jour vers une version corrigée est recommandée.
Un attaquant peut exploiter cette vulnérabilité CSRF pour modifier les paramètres de configuration du plugin Ni WooCommerce Order Export. Cela pourrait inclure la modification des chemins d'exportation des commandes, des filtres de données, ou d'autres paramètres sensibles. En modifiant ces paramètres, l'attaquant pourrait potentiellement compromettre l'intégrité des données exportées, ou même affecter le fonctionnement du site web. L'absence de validation des capacités de l'utilisateur rend l'exploitation particulièrement simple, car elle ne nécessite pas d'authentification préalable sur le site WordPress.
Cette vulnérabilité a été rendue publique le 2026-04-21. Aucune preuve d'exploitation active n'est actuellement disponible, mais la simplicité de l'exploitation rend cette vulnérabilité potentiellement dangereuse. Il n'est pas listé sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Un Proof of Concept (POC) public pourrait être développé, augmentant le risque d'exploitation.
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Ni WooCommerce Order Export vers une version corrigée. Si une mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est possible d'ajouter des règles de pare-feu applicatif web (WAF) pour bloquer les requêtes POST suspectes vers l'endpoint niorderexport_action(). De plus, l'utilisation de plugins de sécurité WordPress qui ajoutent des protections CSRF supplémentaires peut aider à atténuer le risque. Vérifiez après la mise à jour que les paramètres du plugin sont correctement configurés et qu'il n'y a pas de modifications inattendues.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4140 is a Cross-Site Request Forgery (CSRF) vulnerability in the Ni WooCommerce Order Export plugin for WordPress versions up to 3.1.6. It allows attackers to modify plugin settings without authentication.
You are affected if you are using the Ni WooCommerce Order Export plugin in WordPress and are running version 3.1.6 or earlier. Upgrade to a patched version to resolve the issue.
The recommended fix is to upgrade the Ni WooCommerce Order Export plugin to a version that includes nonce validation. As a temporary workaround, implement a WAF rule to block suspicious AJAX requests.
There is currently no public evidence of CVE-2026-4140 being actively exploited in the wild, but it's crucial to apply the fix to prevent potential future attacks.
Check the Ni WooCommerce Order Export plugin page on the WordPress plugin repository for updates and security advisories related to CVE-2026-4140.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.