CVE-2026-0974描述了WordPress Orderable餐厅在线订购系统和食品订购插件中的一个严重漏洞。由于缺少能力检查,认证攻击者(具有订阅者级别或更高权限)可以安装任意插件,从而可能导致远程代码执行。此漏洞影响所有版本,包括1.20.0及更早版本。建议尽快升级到修复版本或实施缓解措施。
检测此 CVE 是否影响你的项目
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
影响与攻击场景
此漏洞的影响非常严重,因为它允许攻击者在受感染的WordPress网站上安装任意插件。攻击者可以利用此漏洞安装恶意插件,从而完全控制网站。这可能导致数据泄露、网站篡改、甚至更严重的后果,例如利用网站进行进一步的攻击。攻击者可以窃取敏感数据,例如客户信息、订单历史记录和支付信息。此外,攻击者还可以利用受感染的网站作为跳板,攻击其他系统和网络。由于该插件广泛应用于餐饮行业,因此潜在的攻击面非常大。
利用背景
该漏洞已于2026年2月18日公开披露。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易于利用,预计未来可能会被积极利用。该漏洞尚未被列入KEV,EPSS评分待定。建议密切关注安全社区的动态,并及时采取缓解措施。
威胁情报
漏洞利用状态
EPSS
0.28% (51% 百分位)
CISA SSVC
CVSS 向量
这些指标意味着什么?
- Attack Vector
- 网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
- Attack Complexity
- 低 — 无需特殊条件,可以稳定地利用漏洞。
- Privileges Required
- 低 — 任何有效用户账户均可。
- User Interaction
- 无 — 攻击自动且无声,受害者无需任何操作。
- Scope
- 未改变 — 影响仅限于脆弱组件本身。
- Confidentiality
- 高 — 完全丧失机密性,攻击者可读取所有数据。
- Integrity
- 高 — 攻击者可写入、修改或删除任何数据。
- Availability
- 高 — 完全崩溃或资源耗尽,完全拒绝服务。
受影响的软件
弱点分类 (CWE)
时间线
- 已保留
- 发布日期
- 修改日期
- EPSS 更新日期
缓解措施和替代方案
目前,官方尚未发布修复版本。在升级之前,可以考虑以下缓解措施:首先,限制WordPress用户的权限,确保只有管理员才能安装插件。其次,使用WordPress安全插件,这些插件可以检测和阻止可疑的插件安装尝试。第三,实施Web应用防火墙(WAF)规则,以阻止恶意请求。第四,定期审查已安装的插件,并删除任何不必要的或可疑的插件。升级到修复版本后,请验证插件是否正常工作,并检查网站是否存在任何异常行为。
修复方法
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
常见问题
什么是CVE-2026-0974 — RCE in Orderable 餐厅在线订购系统?
CVE-2026-0974描述了WordPress Orderable餐厅在线订购系统插件中存在的远程代码执行漏洞,攻击者可以利用此漏洞安装任意插件。
我是否受到CVE-2026-0974 in Orderable 餐厅在线订购系统的影响?
如果您正在使用Orderable插件的版本低于或等于1.20.0,则您可能受到此漏洞的影响。请立即采取缓解措施。
如何修复CVE-2026-0974 in Orderable 餐厅在线订购系统?
目前官方尚未发布修复版本。建议升级WordPress和Orderable插件到最新版本,并采取缓解措施,如限制用户权限和使用WAF。
CVE-2026-0974 是否正在被积极利用?
目前尚未观察到大规模的利用活动,但由于漏洞的严重性,预计未来可能会被积极利用。
在哪里可以找到Orderable 餐厅在线订购系统的官方CVE-2026-0974公告?
请访问Orderable官方网站或WordPress插件目录,查找有关CVE-2026-0974的官方公告。
检测此 CVE 是否影响你的项目
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
立即扫描您的WordPress项目 — 无需账户
上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。
拖放您的依赖文件
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...