acowebs Woocommerce Custom Product Addons Pro Plugin bis 5.4.1 auf WordPress price.php eval Feld Remote Code Execution
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.4 | $0-$5k | 1.43 |
Zusammenfassung
In acowebs Woocommerce Custom Product Addons Pro Plugin bis 5.4.1 für WordPress wurde eine kritische Schwachstelle entdeckt. Das betrifft die Funktion eval der Datei includes/process/price.php. Durch das Manipulieren des Arguments Feld mit unbekannten Daten kann eine Remote Code Execution-Schwachstelle ausgenutzt werden.
Diese Schwachstelle trägt die Bezeichnung CVE-2026-4001. Der Angriff kann über das Netzwerk angegangen werden. Es gibt keinen verfügbaren Exploit.
Details
Es wurde eine kritische Schwachstelle in acowebs Woocommerce Custom Product Addons Pro Plugin bis 5.4.1 auf WordPress entdeckt. Dabei betrifft es die Funktion eval der Datei includes/process/price.php. Dank der Manipulation des Arguments field mit einer unbekannten Eingabe kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-95 vorgenommen. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
The Woocommerce Custom Product Addons Pro plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 5.4.1 via the custom pricing formula eval() in the process_custom_formula() function within includes/process/price.php. This is due to insufficient sanitization and validation of user-submitted field values before passing them to PHP's eval() function. The sanitize_values() method strips HTML tags but does not escape single quotes or prevent PHP code injection. This makes it possible for unauthenticated attackers to execute arbitrary code on the server by submitting a crafted value to a WCPA text field configured with custom pricing formula (pricingType: "custom" with {this.value}).Die Schwachstelle wurde durch Ren Voza publik gemacht. Auf wordfence.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 11.03.2026 unter CVE-2026-4001 geführt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen (Preisberechnung vom 28.03.2026).
Potentiell verwundbare Systeme können mit dem Google Dork inurl:includes/process/price.php gefunden werden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2026-14652) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.5VulDB Meta Temp Score: 8.4
VulDB Base Score: 7.3
VulDB Temp Score: 7.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 9.8
CNA Vector (Wordfence): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-95 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
Google Hack: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
11.03.2026 CVE zugewiesen24.03.2026 Advisory veröffentlicht
24.03.2026 VulDB Eintrag erstellt
28.03.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: wordfence.comPerson: Ren Voza
Status: Nicht definiert
CVE: CVE-2026-4001 (🔒)
GCVE (CVE): GCVE-0-2026-4001
GCVE (VulDB): GCVE-100-352638
EUVD: 🔒
Eintrag
Erstellt: 24.03.2026 02:53Aktualisierung: 28.03.2026 09:37
Anpassungen: 24.03.2026 02:53 (66), 24.03.2026 06:04 (1), 28.03.2026 09:37 (1)
Komplett: 🔍
Cache ID: 216:2CF:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.