CVE-2026-6962: XSS in Cost of Goods WooCommerce Calculator
Platform
wordpress
Component
cost-of-goods-for-woocommerce
Opgelost in
4.1.1
CVE-2026-6962 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de plugin 'Cost of Goods: Product Cost & Profit Calculator for WooCommerce' voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om schadelijke webscripts te injecteren via de 'algwccogproductcost' en 'algwccogproductprofit' shortcodes. De kwetsbaarheid treft versies van de plugin tot en met 4.1.0. Een update naar versie 4.1.1 is beschikbaar om dit probleem te verhelpen.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van deze XSS-kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om willekeurige JavaScript-code uit te voeren in de browser van een andere gebruiker die een geïnjecteerde pagina bezoekt. Dit kan leiden tot het stelen van sessiecookies, het omleiden van gebruikers naar kwaadaardige websites, het wijzigen van de inhoud van de pagina of het uitvoeren van andere schadelijke acties. De impact is aanzienlijk, vooral omdat de aanvaller slechts contributor-niveau toegang of hoger nodig heeft, wat een relatief laag privilege-niveau is binnen WordPress. Dit soort XSS-aanvallen kunnen gebruikt worden om de controle over een WordPress-site over te nemen en gevoelige informatie te stelen.
Uitbuitingscontext
Op het moment van publicatie (2026-05-12) is er geen publieke exploitatiecode bekend. De kwetsbaarheid is echter van het type XSS, wat betekent dat er een relatief hoge waarschijnlijkheid is dat er in de toekomst een Proof of Concept (POC) zal verschijnen. De CVSS-score is 6.4 (MEDIUM), wat duidt op een gematigde dreiging. Er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid.
Dreigingsinformatie
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Laag — elk geldig gebruikersaccount is voldoende.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
- Confidentiality
- Laag — gedeeltelijke toegang tot enkele gegevens.
- Integrity
- Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie voor CVE-2026-6962 is het updaten van de 'Cost of Goods: Product Cost & Profit Calculator for WooCommerce' plugin naar versie 4.1.1 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de 'algwccogproductcost' en 'algwccogproductprofit' shortcodes. Een Web Application Firewall (WAF) kan ook worden geconfigureerd om XSS-pogingen te detecteren en te blokkeren. Controleer de WordPress-configuratie op onnodige privileges die gebruikers toekennen, waardoor de impact van een succesvolle exploitatie wordt beperkt. Na de upgrade, controleer de plugin-instellingen en bekijk de website-logs op verdachte activiteit.
Hoe te verhelpen
Update naar versie 4.1.1, of een nieuwere gepatchte versie
Veelgestelde vragen
Wat is CVE-2026-6962 — XSS in Cost of Goods WooCommerce Calculator?
CVE-2026-6962 is een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de plugin 'Cost of Goods: Product Cost & Profit Calculator for WooCommerce' voor WordPress, waardoor aanvallers schadelijke scripts kunnen injecteren.
Ben ik getroffen door CVE-2026-6962 in Cost of Goods WooCommerce Calculator?
U bent getroffen als u de 'Cost of Goods: Product Cost & Profit Calculator for WooCommerce' plugin gebruikt in versie 4.1.0 of lager.
Hoe los ik CVE-2026-6962 in Cost of Goods WooCommerce Calculator op?
Update de plugin naar versie 4.1.1 of hoger. Als dit niet mogelijk is, schakel dan tijdelijk de betreffende shortcodes uit.
Wordt CVE-2026-6962 actief misbruikt?
Op dit moment zijn er geen bekende actieve campagnes, maar de kwetsbaarheid is van het type XSS, wat een hoog risico op toekomstige exploitatie betekent.
Waar kan ik het officiële Cost of Goods WooCommerce Calculator advisory voor CVE-2026-6962 vinden?
Raadpleeg de website van de plugin-ontwikkelaar of de WordPress plugin directory voor het officiële advisory.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Scan nu uw WordPress project — geen account
Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.
Sleep uw afhankelijkheidsbestand hierheen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...