Plataforma
wordpress
Componente
ecwid-shopping-cart
Corrigido em
7.0.8
A vulnerabilidade CVE-2026-1750 afeta o plugin Ecwid by Lightspeed Ecommerce Shopping Cart para WordPress, permitindo a escalada de privilégios. Atacantes autenticados, mesmo com permissões limitadas como assinantes, podem explorar essa falha para obter acesso de gerente de loja. As versões afetadas incluem todas as versões até e incluindo 7.0.7. A correção está disponível na versão 7.0.8.
Esta vulnerabilidade permite que um atacante autenticado, com permissões de usuário padrão (como um assinante), eleve seus privilégios para o nível de gerente de loja no Ecwid. Isso concede ao atacante controle total sobre as configurações da loja, incluindo acesso a dados sensíveis de clientes, gerenciamento de produtos, processamento de pedidos e informações financeiras. A exploração bem-sucedida pode levar a roubo de dados, modificação de informações de produtos, fraudes e interrupção das operações da loja. A ausência de uma verificação de capacidade adequada na função 'savecustomuserprofilefields' é a causa raiz da vulnerabilidade, permitindo que o atacante manipule o parâmetro 'ecstoreadmin_access' durante a atualização do perfil.
A vulnerabilidade foi divulgada em 15 de fevereiro de 2026. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há um proof-of-concept (PoC) publicamente disponível, mas a natureza da vulnerabilidade (escalada de privilégios) a torna um alvo atraente para exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Websites utilizing the Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress, particularly those with a large number of subscriber-level users or those who have not implemented robust user role management practices, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially lead to lateral movement and exploitation of other sites using the vulnerable plugin.
• wordpress / composer / npm:
grep -r 'ec_store_admin_access' /var/www/html/wp-content/plugins/ecwid/includes/user-profile.php• wordpress / composer / npm:
wp plugin list | grep ecwid• wordpress / composer / npm:
wp plugin update ecwiddisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Ecwid para a versão 7.0.8 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso à função de atualização de perfil do usuário. Implementar regras de firewall de aplicação web (WAF) para bloquear solicitações que tentem manipular o parâmetro 'ecstoreadmin_access' pode fornecer uma camada adicional de proteção. Monitore os logs do WordPress e do Ecwid em busca de tentativas de acesso não autorizado ou modificações suspeitas no perfil do usuário.
Atualize para a versão 7.0.8, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-1750 is a HIGH severity vulnerability affecting the Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress. It allows attackers with subscriber permissions to gain store manager access due to a missing capability check.
You are affected if you are using Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress versions 0.0.0 through 7.0.7. Upgrade to 7.0.8 or later to mitigate the risk.
The recommended fix is to upgrade the Ecwid plugin to version 7.0.8 or later. If immediate upgrade is not possible, restrict user permissions to limit the potential impact.
There is currently no evidence of active exploitation in the wild, but the vulnerability has been added to the CISA KEV catalog, indicating a potential risk.
Refer to the official Ecwid security advisory for detailed information and updates: [https://www.ecwid.com/security/advisories](https://www.ecwid.com/security/advisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.