平台
wordpress
组件
woo-bulk-editor
修复版本
1.1.6
1.1.6
CVE-2026-1672 描述了 WooCommerce 插件 BEAR – Bulk Editor and Products Manager Professional 中存在的跨站请求伪造 (CSRF) 漏洞。该漏洞允许未经身份验证的攻击者通过伪造请求修改 WooCommerce 产品数据,例如价格和描述。该漏洞影响所有版本小于或等于 1.1.5 的插件。已发布 1.1.6 版本修复此问题。
攻击者可以利用此 CSRF 漏洞,在受影响的 WordPress 站点上未经授权地修改 WooCommerce 产品数据。这包括更改产品价格、更新产品描述、修改库存数量,甚至可能影响其他产品字段。攻击者可以通过诱骗管理员或店经理点击恶意链接来触发这些修改。如果攻击者成功修改了产品价格,可能会导致经济损失。如果攻击者修改了产品描述,可能会传播恶意信息或误导客户。由于该漏洞无需身份验证,因此攻击者可以大规模扫描易受攻击的站点。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。公开的 PoC 尚未发现,但漏洞的本质使其易于利用。
WordPress websites utilizing the BEAR – Bulk Editor and Products Manager Professional for WooCommerce plugin, particularly those with multiple administrators or shop managers, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable if one site is running an outdated version of the plugin.
• wordpress / composer / npm:
wp plugin list | grep Pluginus.Net• wordpress / composer / npm:
wp plugin update BEAR --all• wordpress / composer / npm:
grep -r 'woobe_redraw_table_row()' /var/www/html/wp-content/plugins/bear-bulk-editor/disclosure
漏洞利用状态
EPSS
0.01% (0% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 BEAR – Bulk Editor and Products Manager Professional 插件升级至 1.1.6 或更高版本。如果升级会导致网站中断,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。此外,可以实施 Web 应用防火墙 (WAF) 或代理服务器规则,以检测和阻止 CSRF 攻击。确保 WordPress 站点配置了严格的 CSRF 保护机制,例如使用 nonce 验证。定期审查 WordPress 插件,并及时更新。
更新到 1.1.6 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-1672 描述了 WooCommerce 插件 BEAR – Bulk Editor and Products Manager Professional 中存在的跨站请求伪造 (CSRF) 漏洞,允许攻击者未经身份验证修改产品数据。
如果您正在使用 BEAR – Bulk Editor and Products Manager Professional 插件的版本小于或等于 1.1.5,则您可能受到此漏洞的影响。
立即将 BEAR – Bulk Editor and Products Manager Professional 插件升级至 1.1.6 或更高版本。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 Pluginus.Net 官方网站或 WordPress 插件目录,查找关于 CVE-2026-1672 的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。