मुफ्त स्कैन करें
MEDIUMCVE-2026-4664CVSS 5.3

CVE-2026-4664: Authentication Bypass in Customer Reviews for WooCommerce

प्लेटफ़ॉर्म

wordpress

घटक

customer-reviews-woocommerce

में ठीक किया गया

5.103.1

5.104.0

AI Confidence: highNVDEPSS 0.2%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-4664 WooCommerce के लिए कस्टमर रिव्यूज प्लगइन में एक प्रमाणीकरण बाईपास भेद्यता है। यह भेद्यता हमलावरों को बिना उचित प्राधिकरण के समीक्षाएँ बनाने की अनुमति देती है। यह भेद्यता WooCommerce के लिए कस्टमर रिव्यूज प्लगइन के संस्करण 5.103.0 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 5.104.0 में अपडेट करके इस भेद्यता को ठीक किया जा सकता है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को बिना किसी वैध उपयोगकर्ता खाते के समीक्षाएँ बनाने की अनुमति देती है। हमलावर दुर्भावनापूर्ण समीक्षाएँ पोस्ट कर सकते हैं, झूठी जानकारी फैला सकते हैं, या प्लगइन के माध्यम से अन्य दुर्भावनापूर्ण कार्य कर सकते हैं। चूंकि समीक्षाएँ अक्सर WooCommerce स्टोर की प्रतिष्ठा और ग्राहक विश्वास को प्रभावित करती हैं, इसलिए इस भेद्यता का शोषण करने से महत्वपूर्ण नुकसान हो सकता है। हमलावर समीक्षाओं को स्पैम करने या फ़िशिंग लिंक डालने के लिए इसका उपयोग कर सकते हैं, जिससे ग्राहकों को जोखिम हो सकता है।

शोषण संदर्भ

यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसका CVSS स्कोर मध्यम है, जो संभावित शोषण की मध्यम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-04-10 को प्रकाशित की गई थी।

कौन जोखिम में हैअनुवाद हो रहा है…

Websites using the Customer Reviews for WooCommerce plugin, particularly those with a large number of customer reviews or those relying heavily on customer feedback for sales. Shared hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites on the same server.

पहचान के चरणअनुवाद हो रहा है…

• wordpress / composer / npm:

grep -r "create_review_permissions_check" /var/www/html/wp-content/plugins/customer-reviews-for-woocommerce/

• wordpress / composer / npm:

wp plugin list --status=all | grep customer-reviews-for-woocommerce

• wordpress / composer / npm:

wp plugin update customer-reviews-for-woocommerce --all

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.18% (39% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N5.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकcustomer-reviews-woocommerce
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0.0.0 – 5.103.05.103.1
5.103.05.104.0

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
80Kज्ञात
प्लगइन रेटिंग
4.8
WordPress आवश्यक
4.5+
संगत संस्करण तक
6.9.4
PHP आवश्यक
7.4+
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-287

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, WooCommerce के लिए कस्टमर रिव्यूज प्लगइन को संस्करण 5.104.0 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, प्लगइन के createreviewpermissions_check() फ़ंक्शन में सख्त समानता जाँच (===) को एक looser तुलना के साथ बदलने पर विचार करें जो खाली कुंजियों को संभालता है। इसके अतिरिक्त, फ़ायरवॉल या वेब एप्लिकेशन प्रॉक्सी (WAF) का उपयोग करके अनधिकृत समीक्षा निर्माण प्रयासों को ब्लॉक करने के लिए नियम लागू करें। प्लगइन फ़ाइलों में किसी भी असामान्य गतिविधि की निगरानी करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के माध्यम से समीक्षाएँ बनाने का प्रयास करके सत्यापित करें।

कैसे ठीक करें

संस्करण 5.104.0 में अपडेट करें, या एक नया पैच किया गया संस्करण

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-4664 — प्रमाणीकरण बाईपास WooCommerce के लिए कस्टमर रिव्यूज प्लगइन में क्या है?

CVE-2026-4664 WooCommerce के लिए कस्टमर रिव्यूज प्लगइन में एक प्रमाणीकरण बाईपास भेद्यता है जो हमलावरों को बिना प्राधिकरण के समीक्षाएँ बनाने की अनुमति देती है।

क्या मैं CVE-2026-4664 से WooCommerce के लिए कस्टमर रिव्यूज प्लगइन से प्रभावित हूँ?

यदि आप WooCommerce के लिए कस्टमर रिव्यूज प्लगइन के संस्करण 5.103.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-4664 से WooCommerce के लिए कस्टमर रिव्यूज प्लगइन को कैसे ठीक करूँ?

इस भेद्यता को ठीक करने के लिए, WooCommerce के लिए कस्टमर रिव्यूज प्लगइन को संस्करण 5.104.0 में अपडेट करें।

क्या CVE-2026-4664 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।

CVE-2026-4664 के लिए WooCommerce का आधिकारिक सलाहकार कहाँ पा सकता हूँ?

कृपया WooCommerce वेबसाइट पर आधिकारिक सलाहकार देखें: [https://woocommerce.com/security/](https://woocommerce.com/security/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें