Platform
wordpress
Component
woo-bulk-editor
Opgelost in
1.1.6
1.1.6
De BEAR – Bulk Editor and Products Manager Professional plugin voor WordPress vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om WooCommerce productgegevens te wijzigen, zoals prijzen en beschrijvingen, via een vervalste aanvraag. De kwetsbaarheid is aanwezig in alle versies tot en met 1.1.5. Een update naar versie 1.1.6 lost dit probleem op.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in WooCommerce productgegevens. Aanvallers kunnen bijvoorbeeld prijzen verlagen, beschrijvingen manipuleren of andere productvelden aanpassen, wat kan resulteren in financiële verliezen, reputatieschade of verstoring van de bedrijfsvoering. De aanval vereist dat de aanvaller een sitebeheerder of winkelmanager kan overtuigen om op een kwaadaardige link te klikken, waardoor de vervalste aanvraag wordt uitgevoerd. Dit kan bijvoorbeeld via phishing-e-mails of door het plaatsen van schadelijke links op websites die door de beheerder worden bezocht.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de CSRF-aard maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het NVD-register en gepubliceerd op 2026-04-07.
WordPress websites utilizing the BEAR – Bulk Editor and Products Manager Professional for WooCommerce plugin, particularly those with multiple administrators or shop managers, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable if one site is running an outdated version of the plugin.
• wordpress / composer / npm:
wp plugin list | grep Pluginus.Net• wordpress / composer / npm:
wp plugin update BEAR --all• wordpress / composer / npm:
grep -r 'woobe_redraw_table_row()' /var/www/html/wp-content/plugins/bear-bulk-editor/disclosure
Exploit Status
EPSS
0.01% (0% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de BEAR – Bulk Editor and Products Manager Professional plugin naar versie 1.1.6 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen. Dit kan het toevoegen van een Content Security Policy (CSP) omvensteren van bronnen te beperken, of het implementeren van strikte controle over wie toegang heeft tot de beheerinterface van WooCommerce. Controleer ook of de WordPress-installatie de laatste beveiligingsupdates heeft ontvangen.
Update naar versie 1.1.6, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1672 is a Cross-Site Request Forgery (CSRF) vulnerability in the BEAR WooCommerce plugin for WordPress, affecting versions up to 1.1.5. It allows attackers to manipulate product data via forged requests.
You are affected if you are using the BEAR WooCommerce plugin version 1.1.5 or earlier. Check your plugin version and upgrade immediately.
Upgrade the BEAR WooCommerce plugin to version 1.1.6 or later. This resolves the missing nonce validation issue.
There are currently no known public exploits or active campaigns targeting this vulnerability, but it remains a risk due to the nature of CSRF attacks.
Refer to the Pluginus.Net website and WordPress plugin repository for the latest information and updates regarding this vulnerability.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.