प्लेटफ़ॉर्म
wordpress
घटक
customer-reviews-woocommerce
में ठीक किया गया
5.103.1
5.104.0
CVE-2026-4664 WooCommerce के लिए कस्टमर रिव्यूज प्लगइन में एक प्रमाणीकरण बाईपास भेद्यता है। यह भेद्यता हमलावरों को बिना उचित प्राधिकरण के समीक्षाएँ बनाने की अनुमति देती है। यह भेद्यता WooCommerce के लिए कस्टमर रिव्यूज प्लगइन के संस्करण 5.103.0 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 5.104.0 में अपडेट करके इस भेद्यता को ठीक किया जा सकता है।
यह भेद्यता हमलावरों को बिना किसी वैध उपयोगकर्ता खाते के समीक्षाएँ बनाने की अनुमति देती है। हमलावर दुर्भावनापूर्ण समीक्षाएँ पोस्ट कर सकते हैं, झूठी जानकारी फैला सकते हैं, या प्लगइन के माध्यम से अन्य दुर्भावनापूर्ण कार्य कर सकते हैं। चूंकि समीक्षाएँ अक्सर WooCommerce स्टोर की प्रतिष्ठा और ग्राहक विश्वास को प्रभावित करती हैं, इसलिए इस भेद्यता का शोषण करने से महत्वपूर्ण नुकसान हो सकता है। हमलावर समीक्षाओं को स्पैम करने या फ़िशिंग लिंक डालने के लिए इसका उपयोग कर सकते हैं, जिससे ग्राहकों को जोखिम हो सकता है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसका CVSS स्कोर मध्यम है, जो संभावित शोषण की मध्यम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-04-10 को प्रकाशित की गई थी।
Websites using the Customer Reviews for WooCommerce plugin, particularly those with a large number of customer reviews or those relying heavily on customer feedback for sales. Shared hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites on the same server.
• wordpress / composer / npm:
grep -r "create_review_permissions_check" /var/www/html/wp-content/plugins/customer-reviews-for-woocommerce/• wordpress / composer / npm:
wp plugin list --status=all | grep customer-reviews-for-woocommerce• wordpress / composer / npm:
wp plugin update customer-reviews-for-woocommerce --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.18% (39% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, WooCommerce के लिए कस्टमर रिव्यूज प्लगइन को संस्करण 5.104.0 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, प्लगइन के createreviewpermissions_check() फ़ंक्शन में सख्त समानता जाँच (===) को एक looser तुलना के साथ बदलने पर विचार करें जो खाली कुंजियों को संभालता है। इसके अतिरिक्त, फ़ायरवॉल या वेब एप्लिकेशन प्रॉक्सी (WAF) का उपयोग करके अनधिकृत समीक्षा निर्माण प्रयासों को ब्लॉक करने के लिए नियम लागू करें। प्लगइन फ़ाइलों में किसी भी असामान्य गतिविधि की निगरानी करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के माध्यम से समीक्षाएँ बनाने का प्रयास करके सत्यापित करें।
संस्करण 5.104.0 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-4664 WooCommerce के लिए कस्टमर रिव्यूज प्लगइन में एक प्रमाणीकरण बाईपास भेद्यता है जो हमलावरों को बिना प्राधिकरण के समीक्षाएँ बनाने की अनुमति देती है।
यदि आप WooCommerce के लिए कस्टमर रिव्यूज प्लगइन के संस्करण 5.103.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, WooCommerce के लिए कस्टमर रिव्यूज प्लगइन को संस्करण 5.104.0 में अपडेट करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
कृपया WooCommerce वेबसाइट पर आधिकारिक सलाहकार देखें: [https://woocommerce.com/security/](https://woocommerce.com/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।