Plataforma
wordpress
Componente
woo-bulk-editor
Corrigido em
1.1.6
1.1.6
A vulnerabilidade CVE-2026-1673 afeta o plugin BEAR – Bulk Editor and Products Manager Professional for WooCommerce, desenvolvido pela Pluginus.Net para WordPress. Esta falha de Cross-Site Request Forgery (CSRF) permite que atacantes não autenticados deletem termos de taxonomia do WooCommerce, como categorias e tags. A vulnerabilidade está presente em versões até 1.1.5 e foi corrigida na versão 1.1.6.
Um atacante pode explorar esta vulnerabilidade para deletar categorias, tags e outros termos de taxonomia do WooCommerce, causando disrupção no gerenciamento de produtos e potencialmente impactando a funcionalidade da loja online. A deleção de categorias essenciais pode impedir que os clientes encontrem e comprem produtos, levando a perdas de receita e danos à reputação. A ausência de validação de nonce na função woobedeletetax_term() torna possível a execução de ações destrutivas sem a necessidade de autenticação, tornando a vulnerabilidade particularmente perigosa, especialmente em ambientes com múltiplos administradores ou gerentes de loja.
A vulnerabilidade foi divulgada em 7 de abril de 2026. Não há informações disponíveis sobre exploração ativa ou a inclusão da CVE no KEV da CISA no momento da divulgação. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração é relativamente simples e pode ser implementada com ferramentas CSRF padrão.
WordPress sites utilizing the BEAR – Bulk Editor and Products Manager Professional for WooCommerce plugin, particularly those with multiple administrators or shop managers, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected, as a compromised site could potentially be used to target other sites on the same server.
• wordpress / composer / npm:
grep -r 'woobe_delete_tax_term' /var/www/html/wp-content/plugins/bear-bulk-editor/• wordpress / composer / npm:
wp plugin list | grep bear-bulk-editor• wordpress / composer / npm:
wp plugin update bear-bulk-editordisclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A correção primária é atualizar o plugin BEAR WooCommerce Professional para a versão 1.1.6 ou superior. Enquanto a atualização não for possível, implemente medidas de mitigação, como restringir o acesso à funcionalidade de deleção de termos de taxonomia apenas a usuários com privilégios administrativos elevados. Considere a implementação de um Web Application Firewall (WAF) com regras para detectar e bloquear requisições CSRF. Implementar validação de nonce em todas as funções que modificam dados no plugin pode ajudar a prevenir futuras vulnerabilidades CSRF. Após a atualização, confirme a correção verificando se as requisições de deleção de termos de taxonomia agora requerem autenticação e validação de nonce.
Atualize para a versão 1.1.6, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-1673 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin BEAR WooCommerce Professional para WordPress, permitindo a deleção de termos de taxonomia por atacantes não autenticados.
Sim, se você estiver utilizando uma versão do plugin BEAR WooCommerce Professional inferior a 1.1.6, você está vulnerável a esta falha de CSRF.
A correção recomendada é atualizar o plugin BEAR WooCommerce Professional para a versão 1.1.6 ou superior. Implemente medidas de mitigação se a atualização imediata não for possível.
Não há informações disponíveis sobre exploração ativa no momento da divulgação, mas a vulnerabilidade é relativamente fácil de explorar.
Consulte o site da Pluginus.Net ou o repositório do plugin no WordPress.org para obter o advisory oficial e informações sobre a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.