Platform
wordpress
Component
woocommerce
Opgelost in
5.4.4
5.4.5
5.6.3
5.7.3
5.8.2
5.9.2
6.0.2
6.1.3
6.2.3
6.3.2
6.4.2
6.5.2
6.6.2
6.7.1
6.8.3
6.9.5
7.0.2
7.1.2
7.2.4
7.3.1
7.4.2
7.5.2
7.6.2
7.7.3
7.8.4
7.9.2
8.0.5
8.1.4
8.2.5
8.3.4
8.4.3
8.5.5
8.6.4
8.7.3
8.8.7
8.9.5
9.0.4
9.1.7
9.2.5
9.3.6
9.4.5
9.5.4
9.6.4
9.7.3
9.8.7
9.9.7
10.0.6
10.1.4
10.2.4
10.3.8
10.4.4
10.5.3
10.5.3
CVE-2026-3589 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WooCommerce plugin voor WordPress. Deze kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat om ongeautoriseerde acties uit te voeren, mits de aanvaller een beheerder kan overtuigen om een actie uit te voeren, zoals het klikken op een link. De kwetsbaarheid treedt op in versies van WooCommerce tot en met 10.5.3 (exclusief). Een update naar versie 10.5.3 is beschikbaar om dit probleem te verhelpen.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in WooCommerce-instellingen, het creëren van nieuwe producten of bestellingen, of zelfs het wijzigen van gebruikersrechten. De impact is aanzienlijk, omdat een aanvaller de controle over de WooCommerce-winkel kan overnemen, wat resulteert in dataverlies, reputatieschade en financiële verliezen. Deze kwetsbaarheid is vergelijkbaar met andere CSRF-aanvallen, waarbij de aanvaller de browser van een geauthenticeerde gebruiker misbruikt om acties uit te voeren namens die gebruiker. De ernst van de aanval hangt af van de privileges van de gecompromitteerde beheerder.
CVE-2026-3589 werd publiekelijk bekendgemaakt op 2026-03-10. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is inherent en kan relatief eenvoudig worden geëxploiteerd met behulp van standaard CSRF-technieken. De kans op actieve exploitatie is momenteel als gemiddeld ingeschat, gezien de complexiteit van het misleiden van een beheerder en de potentiële impact van de aanval.
Exploit Status
EPSS
0.03% (10% percentiel)
CVSS-vector
De primaire mitigatie is het updaten van WooCommerce naar versie 10.5.3 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) met CSRF-bescherming. Configureer de WAF om alle WooCommerce-specifieke endpoints te beschermen tegen CSRF-aanvallen. Zorg ervoor dat alle formulieren en acties in WooCommerce een correcte nonce-validatie implementeren. Controleer de WordPress-configuratie op eventuele beveiligingsinstellingen die de CSRF-bescherming verder kunnen versterken.
Update naar versie 10.5.3, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-3589 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in WooCommerce versies tot en met 10.5.3, waardoor ongeautoriseerde acties mogelijk zijn.
Ja, als u WooCommerce gebruikt in versie 10.5.3 of lager, bent u kwetsbaar voor deze CSRF-aanval.
Update WooCommerce onmiddellijk naar versie 10.5.3 of hoger om deze kwetsbaarheid te verhelpen.
Hoewel er momenteel geen publieke exploits beschikbaar zijn, is de kans op actieve exploitatie gemiddeld vanwege de inherente aard van CSRF-aanvallen.
Raadpleeg de WooCommerce-website of de WordPress-beveiligingspagina voor het officiële advies en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.