CRITICAL✓ PATCH🇬🇧 English

CVE-2026-49060

Privilege Escalation w pluginie Hippoo Mobile App for WooCommerce

CVSS 9.8v3.1pub. 2026-06-11upd. 2026-06-12

Podatność nieprawidłowego przypisania uprawnień (Incorrect Privilege Assignment) w pluginie WordPress Hippoo Mobile App for WooCommerce umożliwia nieuprzywilejowanemu atakującemu eskalację uprawnień w systemie. Ocena CVSS 9.8 wskazuje na krytyczne zagrożenie, ponieważ exploit nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

Incorrect Privilege Assignment vulnerability in Hippoo Mobile App for WooCommerce allows Privilege Escalation. This issue affects Hippoo Mobile App for WooCommerce: from n/a through 1.9.4.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-266 (Incorrect Privilege Assignment) polega na nieprawidłowym przypisywaniu uprawnień w logice pluginu. Atakujący może, bez posiadania żadnych poświadczeń, wysłać odpowiednio spreparowane żądanie do podatnego endpointu i uzyskać wyższy poziom dostępu niż powinien. Mechanizm umożliwia privilege escalation, co w środowisku WordPress może oznaczać przejęcie roli administratora.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w aplikacji WordPress, potencjalnie przejmując pełną kontrolę nad stroną, w tym dostęp do danych klientów sklepu WooCommerce oraz możliwość modyfikacji konfiguracji systemu.

Mitygacja

Należy zaktualizować plugin Hippoo Mobile App for WooCommerce do wersji wyższej niż 1.9.4. Szczegóły dotyczące dostępnego patcha znajdują się w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Plugin WordPress Hippoo Mobile App for WooCommerce w wersjach od początku istnienia do 1.9.4 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPE
CWE
Referencje