Plataforma
wordpress
Componente
webd-woocommerce-advanced-reporting-statistics
Corrigido em
4.1.4
Uma vulnerabilidade de SQL Injection foi descoberta no plugin Advanced WooCommerce Product Sales Reporting, afetando versões de 0.0.0 até 4.1.3. Essa falha permite a injeção de código SQL malicioso, possibilitando o acesso não autorizado a dados armazenados no banco de dados. A atualização para a versão 4.1.4 é a solução recomendada para eliminar essa vulnerabilidade e garantir a segurança do seu site WordPress.
A exploração bem-sucedida desta vulnerabilidade de SQL Injection pode permitir que um atacante extraia informações confidenciais do banco de dados, como dados de clientes, informações de pedidos e detalhes de produtos. Em cenários mais graves, um atacante pode até mesmo modificar ou excluir dados, causando interrupções significativas no funcionamento do site de comércio eletrônico. A natureza 'cega' da injeção SQL significa que o atacante pode extrair dados sem precisar ver a saída diretamente, tornando a detecção mais difícil. Essa vulnerabilidade se assemelha a outros ataques de SQL Injection que resultaram em roubo de dados em larga escala e comprometimento de sistemas.
Esta vulnerabilidade foi divulgada em 25 de março de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA no momento da publicação. A existência de uma vulnerabilidade de SQL Injection com pontuação CVSS 9.3 indica um risco significativo e a necessidade de ação imediata para mitigar o problema. A ausência de um PoC público não diminui a gravidade, pois a exploração pode ser desenvolvida rapidamente.
WooCommerce store owners using the Advanced WooCommerce Product Sales Reporting plugin, particularly those running versions 0.0.0 through 4.1.3, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.
• wordpress / composer / npm:
grep -r "WPFactory Advanced WooCommerce Product Sales Reporting" /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/advanced-woocommerce-product-sales-reporting/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep advanced-woocommerce-product-sales-reportingdisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A principal medida de mitigação é a atualização imediata para a versão 4.1.4 do plugin Advanced WooCommerce Product Sales Reporting. Se a atualização não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin ou restringir o acesso a funcionalidades que utilizam o recurso vulnerável. Implementar regras de firewall de aplicação web (WAF) para filtrar solicitações maliciosas que contenham padrões de SQL Injection também pode ajudar a reduzir o risco. Monitore os logs do servidor e do banco de dados em busca de atividades suspeitas, como tentativas de injeção SQL.
Atualize para a versão 4.1.4, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24993 is a critical SQL Injection vulnerability affecting Advanced WooCommerce Product Sales Reporting versions 0.0.0–4.1.3, allowing attackers to potentially extract sensitive data.
If you are using Advanced WooCommerce Product Sales Reporting versions 0.0.0 through 4.1.3, you are vulnerable to this SQL Injection flaw.
Upgrade to version 4.1.4 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the WPFactory website and the WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.