Plataforma
wordpress
Componente
products-rearrange-woocommerce
Corrigido em
1.2.3
Uma vulnerabilidade de Injeção SQL cega foi descoberta no plugin Product Rearrange for WooCommerce, permitindo que atacantes explorem falhas na neutralização de caracteres especiais em comandos SQL. Essa falha pode levar ao comprometimento da integridade dos dados e à exposição de informações sensíveis. As versões afetadas são aquelas anteriores ou iguais a 1.2.2. A correção foi disponibilizada em versões posteriores do plugin.
A vulnerabilidade de Injeção SQL cega no Product Rearrange for WooCommerce permite que um atacante execute consultas SQL maliciosas sem obter feedback direto sobre o resultado. Isso significa que o atacante pode extrair dados do banco de dados, modificar informações existentes ou até mesmo comprometer a funcionalidade do site, tudo isso sem gerar erros visíveis. Um atacante poderia, por exemplo, extrair informações de usuários, detalhes de pedidos ou dados de produtos. A exploração bem-sucedida pode levar à perda de dados, roubo de informações confidenciais e interrupção do serviço. A natureza cega da injeção torna a detecção mais difícil, pois o atacante precisa inferir os resultados das consultas SQL.
A vulnerabilidade foi divulgada em 25 de março de 2026. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A ausência de um Proof of Concept (PoC) público dificulta a avaliação do risco imediato, mas a alta pontuação CVSS indica um potencial significativo de exploração. A vulnerabilidade foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA, indicando que a probabilidade de exploração é considerada alta.
Websites using the Product Rearrange for WooCommerce plugin, particularly those running older, unpatched versions (n/a through 1.2.2), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "product_rearrange_woocommerce" /var/www/html/wp-content/plugins/
wp plugin list | grep product_rearrange_woocommerce• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/product-rearrange-woocommerce/ | grep -i 'product-rearrange-woocommerce'disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
Vetor CVSS
A mitigação primária é atualizar o plugin Product Rearrange for WooCommerce para a versão mais recente, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao banco de dados e aplicar regras de firewall (WAF) para bloquear consultas SQL suspeitas. Monitore os logs do servidor em busca de padrões de tráfego incomuns que possam indicar uma tentativa de exploração. Além disso, revise as configurações do plugin para garantir que as entradas do usuário sejam devidamente validadas e sanitizadas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-31920 is a critical SQL Injection vulnerability affecting Product Rearrange for WooCommerce versions up to 1.2.2, allowing attackers to potentially extract data from the database.
If you are using Product Rearrange for WooCommerce versions prior to the patched version (currently unknown), you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade to the latest version of Product Rearrange for WooCommerce as soon as a patch is released. Until then, disable the plugin or implement input validation and WAF rules.
While no active exploitation has been confirmed, the vulnerability's severity and the nature of blind SQL injection suggest it is a high-priority target for attackers.
Refer to the official Product Rearrange for WooCommerce website or the WooCommerce plugin repository for updates and security advisories related to CVE-2026-31920.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.