Platform
wordpress
Component
webd-woocommerce-advanced-reporting-statistics
Opgelost in
4.1.4
CVE-2026-24993 beschrijft een SQL Injection kwetsbaarheid in de WPFactory Advanced WooCommerce Product Sales Reporting plugin. Deze kwetsbaarheid stelt een aanvaller in staat om via Blind SQL Injection gevoelige data uit de database te extraheren. De kwetsbaarheid treft versies van 0.0.0 tot en met 4.1.3. Een patch is beschikbaar in versie 4.1.4.
Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot de database van de WooCommerce winkel. Een aanvaller kan gevoelige informatie zoals klantgegevens, bestelgegevens, en productinformatie stelen. Blind SQL Injection maakt het mogelijk om data te extraheren, zelfs als er geen directe foutmeldingen worden weergegeven. Dit kan leiden tot een significante inbreuk op de privacy en integriteit van de winkel. De impact is vergelijkbaar met andere SQL Injection kwetsbaarheden waarbij data-exfiltratie mogelijk is.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-25. Er is geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn momenteel geen publieke Proof-of-Concept (PoC) exploits beschikbaar, maar de Blind SQL Injection aard van de kwetsbaarheid maakt exploitatie waarschijnlijk. De ernst van de kwetsbaarheid is hoog gezien de potentiële impact.
WooCommerce store owners using the Advanced WooCommerce Product Sales Reporting plugin, particularly those running versions 0.0.0 through 4.1.3, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.
• wordpress / composer / npm:
grep -r "WPFactory Advanced WooCommerce Product Sales Reporting" /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/advanced-woocommerce-product-sales-reporting/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep advanced-woocommerce-product-sales-reportingdisclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Advanced WooCommerce Product Sales Reporting plugin naar versie 4.1.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin om het risico te verminderen. Als tijdelijke workaround kan een Web Application Firewall (WAF) worden geconfigureerd om SQL Injection pogingen te detecteren en te blokkeren. Controleer de toegang tot de database en beperk de rechten van de plugin gebruiker tot het absolute minimum. Na de upgrade, controleer de database logs op verdachte activiteiten.
Update naar versie 4.1.4, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24993 is a critical SQL Injection vulnerability affecting Advanced WooCommerce Product Sales Reporting versions 0.0.0–4.1.3, allowing attackers to potentially extract sensitive data.
If you are using Advanced WooCommerce Product Sales Reporting versions 0.0.0 through 4.1.3, you are vulnerable to this SQL Injection flaw.
Upgrade to version 4.1.4 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the WPFactory website and the WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.