CVE-2026-9240 in Colissimo Officiel Plugininformazioni

Riassunto

di VulDB • 09/07/2026

Il plugin per WordPress Colissimo Officiel : Méthodes de livraison pour WooCommerce è vulnerabile alla modifica non autorizzata dei dati a causa di una mancanza di controllo delle capacità (capability check) sulla funzione updateShippingMethod() (registrata all'azione AJAX wp_ajax_lpc_order_affect) nelle versioni fino alla 2.9.0, inclusa. Ciò è dovuto al fatto che il gestore esegue un controllo current_user_can() sulle capacità e non verifica la nonce prima di leggere un order_id fornito dall'attaccante e modificare il metodo di spedizione, i metadati del punto di ritiro (pickup-point meta) e l'indirizzo di spedizione dell'ordine. Ciò consente agli attaccanti autenticati con accesso a livello di Sottoscrittore (Subscriber-level access) o superiore di creare o modificare le informazioni di spedizione (metodo di spedizione, dati della stazione di consegna/ritiro e indirizzo di spedizione) degli ordini WooCommerce arbitrari, inclusi gli ordini effettuati da altri utenti.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

Wordfence

Prenotare

21/05/2026

Divulgazione

09/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!