Plateforme
wordpress
Composant
customer-reviews-woocommerce
Corrigé dans
5.103.1
5.104.0
La vulnérabilité CVE-2026-4664 concerne un contournement d'authentification dans le plugin Customer Reviews for WooCommerce pour WordPress. Cette faille permet à un attaquant de créer des critiques de produits sans autorisation appropriée, compromettant l'intégrité des avis et potentiellement la réputation du site. Elle affecte toutes les versions du plugin jusqu'à la version 5.103.0 et a été corrigée dans la version 5.104.0.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de créer des critiques de produits frauduleuses ou malveillantes. Ces critiques peuvent être utilisées pour manipuler les évaluations des produits, nuire à la réputation du vendeur ou même diffuser des informations trompeuses. L'impact est amplifié si le site web est utilisé pour vendre des produits, car des critiques fausses peuvent influencer les décisions d'achat des clients. De plus, un attaquant pourrait potentiellement utiliser cette vulnérabilité pour masquer d'autres activités malveillantes sur le site web, comme l'injection de code ou le vol de données.
Cette vulnérabilité a été rendue publique le 2026-04-10. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Un proof-of-concept public n'est pas encore disponible, mais la simplicité de l'exploitation suggère qu'il pourrait être développé rapidement.
Websites using the Customer Reviews for WooCommerce plugin, particularly those with a large number of customer reviews or those relying heavily on customer feedback for sales. Shared hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites on the same server.
• wordpress / composer / npm:
grep -r "create_review_permissions_check" /var/www/html/wp-content/plugins/customer-reviews-for-woocommerce/• wordpress / composer / npm:
wp plugin list --status=all | grep customer-reviews-for-woocommerce• wordpress / composer / npm:
wp plugin update customer-reviews-for-woocommerce --alldisclosure
Statut de l'Exploit
EPSS
0.18% (percentile 39%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation la plus efficace est de mettre à jour le plugin Customer Reviews for WooCommerce vers la version 5.104.0 ou ultérieure. En attendant la mise à jour, il est possible de désactiver temporairement le plugin pour empêcher la création de nouvelles critiques. Il est également recommandé de surveiller attentivement les critiques existantes pour détecter toute activité suspecte. Bien qu'il n'y ait pas de règles WAF spécifiques connues, une règle générale interdisant la création de critiques avec des clés vides pourrait offrir une protection partielle.
Mettre à jour vers la version 5.104.0, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4664 est une vulnérabilité de contournement d'authentification dans le plugin Customer Reviews for WooCommerce, permettant la création de critiques sans autorisation.
Vous êtes affecté si vous utilisez Customer Reviews for WooCommerce en version 5.103.0 ou inférieure.
Mettez à jour Customer Reviews for WooCommerce vers la version 5.104.0 ou ultérieure.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2026-4664.
Consultez le site web du développeur du plugin pour obtenir l'avis officiel : [URL du site du plugin, à remplacer]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.