Plataforma
wordpress
Componente
woocommerce
Corrigido em
5.4.4
5.4.5
5.6.3
5.7.3
5.8.2
5.9.2
6.0.2
6.1.3
6.2.3
6.3.2
6.4.2
6.5.2
6.6.2
6.7.1
6.8.3
6.9.5
7.0.2
7.1.2
7.2.4
7.3.1
7.4.2
7.5.2
7.6.2
7.7.3
7.8.4
7.9.2
8.0.5
8.1.4
8.2.5
8.3.4
8.4.3
8.5.5
8.6.4
8.7.3
8.8.7
8.9.5
9.0.4
9.1.7
9.2.5
9.3.6
9.4.5
9.5.4
9.6.4
9.7.3
9.8.7
9.9.7
10.0.6
10.1.4
10.2.4
10.3.8
10.4.4
10.5.3
10.5.3
A vulnerabilidade CVE-2026-3589 afeta o plugin WooCommerce para WordPress, permitindo ataques de Cross-Site Request Forgery (XSRF). Essa falha ocorre devido à validação inadequada de nonces em uma função específica, possibilitando que atacantes não autenticados executem ações não autorizadas. A vulnerabilidade afeta todas as versões do WooCommerce até a 10.5.3 (exclusiva), e a correção foi disponibilizada na versão 10.5.3.
Um atacante pode explorar essa vulnerabilidade para realizar ações em nome de um administrador do site, como alterar configurações, instalar plugins maliciosos ou até mesmo obter acesso a dados sensíveis. O ataque geralmente envolve a criação de um link ou formulário malicioso que, quando clicado ou submetido por um administrador logado, executa uma ação não intencional. O impacto pode variar dependendo das permissões do administrador e das configurações do site, mas em cenários mais graves, pode levar à completa comprometimento do site e dos dados armazenados. A ausência de validação adequada de nonces torna o ataque relativamente simples de executar, especialmente se o administrador for enganado para clicar no link malicioso.
A vulnerabilidade foi divulgada em 2026-03-10. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a facilidade de execução do ataque XSRF sugere um risco moderado.
Status do Exploit
EPSS
0.03% (percentil 10%)
Vetor CVSS
A mitigação primária para essa vulnerabilidade é a atualização imediata do plugin WooCommerce para a versão 10.5.3 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade com outros plugins ou temas, considere implementar medidas de segurança adicionais, como a utilização de um firewall de aplicação web (WAF) que possa detectar e bloquear ataques XSRF. Além disso, revise as permissões dos usuários e implemente políticas de segurança que restrinjam o acesso a funções administrativas apenas a usuários confiáveis. Verifique, após a atualização, se as funcionalidades do WooCommerce permanecem operacionais e se não há conflitos com outros plugins.
Atualize para a versão 10.5.3 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-3589 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin WooCommerce para WordPress, permitindo que atacantes executem ações não autorizadas em nome de administradores.
Sim, se você estiver usando o WooCommerce em uma versão inferior a 10.5.3, você está vulnerável a essa falha.
Atualize o plugin WooCommerce para a versão 10.5.3 ou superior. Considere usar um WAF para proteção adicional.
Não há relatos confirmados de exploração ativa em campanhas direcionadas, mas a facilidade de execução do ataque XSRF sugere um risco moderado.
Consulte o site oficial do WooCommerce ou o repositório de WordPress para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.