平台
wordpress
组件
customer-reviews-woocommerce
修复版本
5.103.1
5.104.0
CVE-2026-4664 是 WooCommerce 客户评论插件中的身份验证绕过漏洞。此漏洞允许攻击者绕过身份验证流程,从而可能创建未经授权的评论。该漏洞影响所有版本,包括 5.103.0。已发布 5.104.0 版本修复此问题,建议用户尽快升级。
攻击者可以利用此身份验证绕过漏洞,创建虚假评论或恶意内容,损害网站的信誉和用户体验。攻击者可能利用此漏洞操纵产品评分,进行恶意营销活动,或传播虚假信息。由于 WooCommerce 插件广泛使用,此漏洞可能影响大量 WordPress 网站,造成广泛的安全风险。如果攻击者能够成功绕过身份验证,他们可能还可以访问其他敏感数据或执行其他恶意操作,具体取决于插件的权限设置。
该漏洞已公开披露,存在公开的利用代码的可能性。目前尚无关于该漏洞被积极利用的公开报告,但由于其影响范围广泛,建议用户尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。NVD 发布日期为 2026-04-10。
Websites using the Customer Reviews for WooCommerce plugin, particularly those with a large number of customer reviews or those relying heavily on customer feedback for sales. Shared hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites on the same server.
• wordpress / composer / npm:
grep -r "create_review_permissions_check" /var/www/html/wp-content/plugins/customer-reviews-for-woocommerce/• wordpress / composer / npm:
wp plugin list --status=all | grep customer-reviews-for-woocommerce• wordpress / composer / npm:
wp plugin update customer-reviews-for-woocommerce --alldisclosure
漏洞利用状态
EPSS
0.18% (39% 百分位)
CISA SSVC
最有效的缓解措施是立即将 WooCommerce 客户评论插件升级到 5.104.0 或更高版本。如果升级会导致兼容性问题,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。此外,建议实施 Web 应用防火墙 (WAF) 规则,以检测和阻止可疑的身份验证绕过尝试。监控插件的日志文件,查找异常活动,例如未经授权的评论创建。定期审查插件的权限设置,确保其遵循最小权限原则。
更新到 5.104.0 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-4664 是 WooCommerce 客户评论插件中的一个身份验证绕过漏洞,允许攻击者在未经授权的情况下创建评论。
如果您正在使用 WooCommerce 客户评论插件的版本低于 5.104.0,那么您就可能受到此漏洞的影响。
请立即将 WooCommerce 客户评论插件升级到 5.104.0 或更高版本。
目前尚无关于该漏洞被积极利用的公开报告,但建议用户尽快采取缓解措施。
请访问 WooCommerce 官方网站或查看 WordPress 插件目录,以获取有关此漏洞的官方公告。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。