Platform
wordpress
Component
woo-custom-product-addons-pro
Opgelost in
5.4.2
De kwetsbaarheid in OpenClaw, versie 2026.4.1 en eerder, betreft het hergebruik van de PKCE verifier als de OAuth state waarde in de Gemini OAuth flow. Hierdoor kon een aanvaller de verifier en autorisatiecode onderscheppen via de redirect URL, waardoor de bescherming van PKCE werd omzeild. De kwetsbaarheid treft het openclaw npm pakket in versies tot en met 2026.4.1. Een patch is beschikbaar in versie 2026.4.2.
CVE-2026-4001 in de WooCommerce Custom Product Addons Pro plugin vormt een kritisch Remote Code Execution (RCE) risico voor WordPress websites die deze gebruiken. De fout ligt in de functie processcustomformula() binnen het bestand includes/process/price.php, specifiek in het gebruik van de eval() functie om aangepaste prijsformules te verwerken. Onvoldoende validatie en sanitatie van gebruikersinvoer voordat deze aan eval() wordt doorgegeven, stelt een aanvaller in staat kwaadaardige PHP-code in te voegen. Een aanvaller kan deze kwetsbaarheid uitbuiten om willekeurige commando's op de server uit te voeren, waardoor mogelijk de hele website wordt gecompromitteerd, inclusief de database, bestanden en het vermogen om gevoelige gebruikersinformatie te stelen. De CVSS score van 9.8 duidt op een extreem hoge ernst.
De kwetsbaarheid is uitbuitbaar via de WordPress admin interface, met name bij het wijzigen of maken van producten met aangepaste prijsopties die formules gebruiken. Een aanvaller met gebruikersrechten (zelfs met beperkte privileges) kan kwaadaardige PHP-code in de prijsformule injecteren. De uitvoering van deze code vindt plaats wanneer de website de formule verwerkt, waardoor de aanvaller in staat is willekeurige commando's op de server uit te voeren. De complexiteit van de exploitatie is relatief laag, omdat er geen geavanceerde technische vaardigheden nodig zijn. De waarschijnlijkheid van exploitatie is hoog, gezien de populariteit van de plugin en de eenvoud waarmee kwaadaardige code kan worden geïnjecteerd. Het ontbreken van invoervalidatie is de belangrijkste factor die de exploitatie mogelijk maakt.
Exploit Status
EPSS
0.18% (40% percentiel)
CISA SSVC
CVSS-vector
De onmiddellijke oplossing is om de WooCommerce Custom Product Addons Pro plugin bij te werken naar versie 5.4.2 of hoger. Deze versie corrigeert de kwetsbaarheid door een robuustere validatie en sanitatie van invoergegevens te implementeren voordat deze in de eval() functie worden gebruikt. Als een update niet onmiddellijk mogelijk is, wordt het aanbevolen om de plugin tijdelijk uit te schakelen of de toegang tot de functie voor aangepaste formules te beperken tot geautoriseerde gebruikers. Het is ook cruciaal om regelmatig beveiligingsaudits van de website uit te voeren en alle WordPress-componenten (kern, thema's en plugins) up-to-date te houden om andere potentiële risico's te beperken. Het implementeren van een Web Application Firewall (WAF) wordt ook aanbevolen om exploitatiepogingen te detecteren en te blokkeren.
Update to version 5.4.2, or a newer patched version
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
RCE betekent dat een aanvaller willekeurige code op een externe server kan uitvoeren, waardoor hij de controle over het systeem krijgt.
Als u een versie voorafgaand aan 5.4.2 van de WooCommerce Custom Product Addons Pro plugin gebruikt, bent u kwetsbaar.
Wijzig onmiddellijk alle wachtwoorden, voer een volledige beveiligingsaudit uit en overweeg om te herstellen van een schone back-up.
U kunt de plugin tijdelijk uitschakelen of de toegang tot de functie voor aangepaste formules beperken.
Houd alle WordPress-componenten up-to-date, gebruik sterke wachtwoorden en voer regelmatig beveiligingsaudits uit.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.