平台
wordpress
组件
woo-bulk-editor
修复版本
1.1.6
1.1.6
CVE-2026-1673 描述了 WooCommerce 的 BEAR – Bulk Editor and Products Manager Professional 插件中的一个跨站请求伪造 (CSRF) 漏洞。该漏洞源于 woobedeletetax_term() 函数缺少 nonce 验证,允许未经身份验证的攻击者通过伪造请求删除 WooCommerce 分类术语,如类别和标签。该漏洞影响所有小于等于 1.1.5 的版本,已于 1.1.6 版本修复。
攻击者可以利用此 CSRF 漏洞,在诱使用户(例如网站管理员或商店经理)点击恶意链接的情况下,未经授权地删除 WooCommerce 网站中的分类术语。这可能导致网站功能中断、数据丢失,甚至可能被用于进一步的攻击。攻击者可以删除关键的类别或标签,从而影响产品的可见性和可购买性,严重影响电子商务网站的运营。由于该漏洞不需要身份验证,攻击者可以大规模地针对使用该插件的 WordPress 网站。
该漏洞已公开披露,并被分配了 CVE 编号 CVE-2026-1673。目前尚未观察到大规模的利用活动,但由于该漏洞不需要身份验证且易于利用,因此存在被利用的风险。建议尽快采取缓解措施以降低风险。
WordPress sites utilizing the BEAR – Bulk Editor and Products Manager Professional for WooCommerce plugin, particularly those with multiple administrators or shop managers, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected, as a compromised site could potentially be used to target other sites on the same server.
• wordpress / composer / npm:
grep -r 'woobe_delete_tax_term' /var/www/html/wp-content/plugins/bear-bulk-editor/• wordpress / composer / npm:
wp plugin list | grep bear-bulk-editor• wordpress / composer / npm:
wp plugin update bear-bulk-editordisclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 BEAR – Bulk Editor and Products Manager Professional for WooCommerce 插件升级至 1.1.6 或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以配置 WordPress 网站的 Web 应用防火墙 (WAF) 以阻止可疑的 CSRF 请求。此外,建议加强用户权限管理,限制网站管理员和商店经理的访问权限,并定期审查用户活动日志。在升级后,请确认漏洞已修复,可以通过尝试执行删除分类术语的操作,并验证是否需要身份验证。
更新到 1.1.6 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-1673 是 WooCommerce 的 BEAR 插件中的一个跨站请求伪造 (CSRF) 漏洞,允许攻击者在未经授权的情况下删除分类术语。
如果您正在使用 BEAR 插件的版本小于等于 1.1.5,则您可能受到影响。请立即升级。
升级到 BEAR 插件的 1.1.6 或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但存在被利用的风险。
请访问 Pluginus.Net 官方网站或 WordPress 插件目录,查找关于 CVE-2026-1673 的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。