CVE-2026-9240 in Colissimo Officiel Plugin
Riassunto
di VulDB • 09/07/2026
Il plugin per WordPress Colissimo Officiel : Méthodes de livraison pour WooCommerce è vulnerabile alla modifica non autorizzata dei dati a causa di una mancanza di controllo delle capacità (capability check) sulla funzione updateShippingMethod() (registrata all'azione AJAX wp_ajax_lpc_order_affect) nelle versioni fino alla 2.9.0, inclusa. Ciò è dovuto al fatto che il gestore esegue un controllo current_user_can() sulle capacità e non verifica la nonce prima di leggere un order_id fornito dall'attaccante e modificare il metodo di spedizione, i metadati del punto di ritiro (pickup-point meta) e l'indirizzo di spedizione dell'ordine. Ciò consente agli attaccanti autenticati con accesso a livello di Sottoscrittore (Subscriber-level access) o superiore di creare o modificare le informazioni di spedizione (metodo di spedizione, dati della stazione di consegna/ritiro e indirizzo di spedizione) degli ordini WooCommerce arbitrari, inclusi gli ordini effettuati da altri utenti.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.