CVE-2026-6962: XSS no Cost of Goods WooCommerce
Plataforma
wordpress
Componente
cost-of-goods-for-woocommerce
Corrigido em
4.1.1
A vulnerabilidade CVE-2026-6962 é uma falha de Cross-Site Scripting (XSS) descoberta no plugin Cost of Goods: Product Cost & Profit Calculator para WordPress. Essa falha permite que atacantes autenticados, com permissões de colaborador ou superiores, injetem scripts web arbitrários em páginas acessadas por outros usuários. Versões do plugin anteriores ou iguais a 4.1.0 são afetadas, e a correção está disponível na versão 4.1.1.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
Um atacante explorando essa vulnerabilidade pode injetar scripts maliciosos em páginas do WordPress que utilizam os shortcodes 'algwccogproductcost' e 'algwccogproductprofit'. Quando um usuário acessa uma página com o script injetado, o script é executado no navegador do usuário, permitindo ao atacante roubar cookies de sessão, redirecionar o usuário para sites maliciosos ou modificar o conteúdo da página. O impacto é ampliado se o atacante tiver acesso a contas de administrador, permitindo a manipulação de dados de produtos, preços e configurações do WooCommerce. A exploração bem-sucedida pode levar à comprometimento total do site WordPress e roubo de informações confidenciais dos clientes.
Contexto de Exploração
A vulnerabilidade CVE-2026-6962 foi publicada em 2026-05-12. A probabilidade de exploração é considerada média, devido à necessidade de acesso autenticado ao painel do WordPress. Não há relatos públicos de campanhas de exploração ativa, mas a facilidade de exploração e a popularidade do plugin Cost of Goods tornam a vulnerabilidade um alvo potencial. A vulnerabilidade não está listada no KEV (Known Exploited Vulnerabilities) ou no EPSS (Emergency Patching Support System) no momento da publicação.
Inteligência de Ameaças
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Baixo — acesso parcial ou indireto a alguns dados.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária para CVE-2026-6962 é a atualização imediata do plugin Cost of Goods para a versão 4.1.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente os shortcodes 'algwccogproductcost' e 'algwccogproductprofit' para evitar a exploração. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns também pode ajudar a mitigar o risco. Monitore os logs do WordPress e do servidor web em busca de padrões de ataque XSS, como solicitações com payloads suspeitos nos parâmetros da URL ou no corpo da requisição.
Como corrigir
Atualize para a versão 4.1.1, ou uma versão corrigida mais recente
Perguntas frequentes
O que é CVE-2026-6962 — XSS no Cost of Goods WooCommerce?
CVE-2026-6962 é uma vulnerabilidade de Cross-Site Scripting (XSS) no plugin Cost of Goods para WooCommerce, permitindo a injeção de scripts maliciosos por usuários autenticados. Afeta versões até 4.1.0.
Estou afetado pelo CVE-2026-6962 no Cost of Goods WooCommerce?
Sim, se você estiver usando o plugin Cost of Goods para WooCommerce na versão 4.1.0 ou anterior, você está vulnerável a essa falha de XSS.
Como corrigir CVE-2026-6962 no Cost of Goods WooCommerce?
Atualize o plugin Cost of Goods para a versão 4.1.1 ou superior para corrigir a vulnerabilidade. Se a atualização não for possível, desative temporariamente os shortcodes afetados.
CVE-2026-6962 está sendo ativamente explorado?
Não há relatos públicos de exploração ativa no momento, mas a vulnerabilidade é um alvo potencial devido à sua facilidade de exploração.
Onde posso encontrar o aviso oficial do Cost of Goods para CVE-2026-6962?
Verifique o site do desenvolvedor do plugin Cost of Goods ou o repositório do WordPress para obter o aviso oficial e as instruções de atualização.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Escaneie seu projeto WordPress agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...