無料スキャン
分析待ちCVE-2026-0974

CVE-2026-0974: RCE in Orderable Restaurant Plugin

プラットフォーム

wordpress

コンポーネント

orderable

NVDで見る
保存

CVE-2026-0974 describes a critical Remote Code Execution (RCE) vulnerability within the Orderable – Restaurant & Food Ordering System plugin for WordPress. This flaw allows authenticated attackers, even those with Subscriber-level access, to install arbitrary plugins, effectively gaining control over the WordPress installation. The vulnerability affects versions of the plugin up to and including 1.20.0. A fix is available in subsequent versions.

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ翻訳中…

The impact of CVE-2026-0974 is significant due to its potential for Remote Code Execution. A successful exploit allows an attacker to install malicious plugins, which can then be used to compromise the entire WordPress site. This could involve data theft, website defacement, malware distribution, or complete server takeover. The attacker only needs Subscriber-level access, making it relatively easy to exploit. The blast radius extends to all data stored on the WordPress site, including customer information, order details, and potentially database credentials. This vulnerability shares similarities with other plugin installation vulnerabilities where inadequate access controls are present.

悪用の状況翻訳中…

CVE-2026-0974 was published on 2026-02-18. Its severity is rated HIGH with a CVSS score of 8.8. There is currently no indication of this vulnerability being actively exploited in the wild, nor is it listed on KEV or EPSS. Public Proof-of-Concept (POC) code is likely to emerge given the ease of exploitation and the high impact. Monitor security advisories and vulnerability databases for updates.

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.28% (51% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントorderable
ベンダーwordfence
最大バージョン1.20.0

弱点分類 (CWE)

CWE-862

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策翻訳中…

The primary mitigation for CVE-2026-0974 is to upgrade the Orderable plugin to a version that addresses the vulnerability. If immediate upgrading is not possible due to compatibility issues or breaking changes, consider implementing a temporary workaround by restricting plugin installation capabilities to only administrators. WordPress administrators can use a plugin like 'Limit Login Attempts' to further restrict access and monitor for suspicious login attempts. Regularly review installed plugins and remove any that are unnecessary or outdated. After upgrading, verify the fix by attempting to install a plugin with a Subscriber-level account – the installation should be denied.

修正方法

既知の修正パッチはありません。脆弱性の詳細を詳細に確認し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。

よくある質問翻訳中…

What is CVE-2026-0974 — RCE in Orderable Restaurant Plugin?

CVE-2026-0974 is a Remote Code Execution vulnerability in the Orderable plugin for WordPress, allowing authenticated attackers to install arbitrary plugins and potentially take control of the site. It has a HIGH severity rating (CVSS 8.8).

Am I affected by CVE-2026-0974 in Orderable Restaurant Plugin?

You are affected if you are using the Orderable plugin version 1.20.0 or earlier. Check your plugin version and upgrade immediately if vulnerable.

How do I fix CVE-2026-0974 in Orderable Restaurant Plugin?

Upgrade the Orderable plugin to the latest available version. If upgrading is not immediately possible, restrict plugin installation capabilities to administrators as a temporary workaround.

Is CVE-2026-0974 being actively exploited?

There is currently no public evidence of CVE-2026-0974 being actively exploited, but the ease of exploitation suggests it could become a target.

Where can I find the official Orderable advisory for CVE-2026-0974?

Refer to the Orderable plugin developer's website or the WordPress plugin repository for the latest advisory and update information regarding CVE-2026-0974.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン
scanZone.liveBadgescanZone.eyebrow

WordPressプロジェクトを今すぐスキャン — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...