CRITICAL✓ PATCH🇬🇧 English

CVE-2026-39583

Nieuwierzytelniony privilege escalation w pluginie Datalogics Ecommerce Delivery

CVSS 9.8v3.1pub. 2026-06-15

Podatność umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień w pluginie WordPress Datalogics Ecommerce Delivery w wersjach do 2.6.62 włącznie. Krytyczny poziom zagrożenia wynika z braku wymogu jakiejkolwiek autoryzacji do przeprowadzenia ataku.

Pokaż oryginał (EN)

Unauthenticated Privilege Escalation in Datalogics Ecommerce Delivery <= 2.6.62 versions.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-266 (Incorrect Privilege Assignment) polega na nieprawidłowym przypisywaniu uprawnień w pluginie. Atakujący bez żadnego uwierzytelnienia może wywołać określoną funkcjonalność pluginu, która skutkuje nadaniem mu wyższych uprawnień niż powinien posiadać. Brak mechanizmów kontroli dostępu pozwala na przeprowadzenie ataku zdalnie, bez interakcji użytkownika.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w systemie WordPress, co w praktyce może oznaczać przejęcie kontroli nad witryną, modyfikację treści, kradzież danych lub instalację złośliwego oprogramowania.

Mitygacja

Należy zaktualizować plugin Datalogics Ecommerce Delivery do wersji wyższej niż 2.6.62. Szczegółowe informacje o dostępnym patchu dostępne są w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Plugin WordPress Datalogics Ecommerce Delivery w wersjach 2.6.62 i wcześniejszych

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPE
CWE
Referencje