Plataforma
wordpress
Componente
customer-reviews-woocommerce
Corrigido em
5.103.1
5.104.0
Uma vulnerabilidade de bypass de autenticação foi descoberta no plugin Customer Reviews for WooCommerce para WordPress. Essa falha permite que um atacante crie avaliações de cliente sem a devida autorização, comprometendo a integridade das avaliações do produto. A vulnerabilidade afeta todas as versões até, e incluindo, 5.103.0. A correção foi lançada na versão 5.104.0.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante adicione avaliações falsas ou maliciosas ao seu site WordPress, prejudicando a reputação da marca e potencialmente induzindo outros clientes em erro. Um atacante pode manipular as avaliações para promover produtos falsos, difamar concorrentes ou disseminar informações enganosas. A falta de autenticação adequada significa que qualquer pessoa pode criar uma avaliação, independentemente de ter realmente comprado o produto ou serviço. Isso pode levar a uma perda de confiança do cliente e danos à imagem da empresa.
A vulnerabilidade foi divulgada em 2026-04-10. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog) no momento da publicação. A ausência de verificação da chave secreta da ordem torna a exploração relativamente simples, e a existência de um proof-of-concept público é provável.
Websites using the Customer Reviews for WooCommerce plugin, particularly those with a large number of customer reviews or those relying heavily on customer feedback for sales. Shared hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites on the same server.
• wordpress / composer / npm:
grep -r "create_review_permissions_check" /var/www/html/wp-content/plugins/customer-reviews-for-woocommerce/• wordpress / composer / npm:
wp plugin list --status=all | grep customer-reviews-for-woocommerce• wordpress / composer / npm:
wp plugin update customer-reviews-for-woocommerce --alldisclosure
Status do Exploit
EPSS
0.18% (percentil 39%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Customer Reviews for WooCommerce para a versão 5.104.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desativar temporariamente o plugin para evitar a criação de avaliações não autorizadas. Como medida adicional, monitore os logs do WordPress em busca de atividades suspeitas relacionadas à criação de avaliações. Implementar um sistema de moderação de avaliações pode ajudar a identificar e remover avaliações falsas ou maliciosas.
Atualize para a versão 5.104.0, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4664 é uma falha de bypass de autenticação no plugin Customer Reviews for WooCommerce, permitindo a criação de avaliações sem autorização.
Sim, se você estiver usando o plugin Customer Reviews for WooCommerce em versões anteriores a 5.104.0, você está vulnerável a esta falha.
Atualize o plugin Customer Reviews for WooCommerce para a versão 5.104.0 ou superior. Se a atualização não for possível, desative o plugin temporariamente.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a facilidade de exploração sugere que isso pode mudar.
Verifique o site oficial do plugin Customer Reviews for WooCommerce ou o repositório do WordPress para obter o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.