Woocommerce
Уязвимости
25
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.04026
Распределение по критичности
Критический
0
Высокий
5
Средний
19
Низкий
1
Затронутые диапазоны версий
3.3.0–3.3.65.4.0–5.4.48.1.0–8.1.38.8–8.8.5< 10.0.3< 2.3.6< 3.2.4< 3.4.6< 3.5.5< 3.6.5< 4.7.0< 5.2.0< 6.2.1< 6.6.0< 7.9.0< 8.6< 8.6.0< 9.0.0< 9.1.0< 9.1.3< 9.7.1≤ 1.3.25≤ 2.6.8≤ 8.2.2
Также сопоставлено как (исходные строки): woocommerce
Топ уязвимостей
CVE-2023-52222Уязвимость Cross-Site Request Forgery (CSRF) в Automattic WooCommerce. Эта проблема затрагивает WooCommerce: от n/a до 8.2.2.
CVE-2019-20891WooCommerce до версии 3.6.5, когда он обрабатывает импорт CSV-файлов продуктов, имеет проблему подделки межсайтовых запросов (CSRF) с результирующим сохраненным межсайтовым скриптингом (XSS) через includes/admin/importers/class-wc-product-csv-importer-controller.php.
CVE-2017-18356В плагине Automattic WooCommerce до версии 3.2.4 для WordPress возможна атака после получения доступа к целевому сайту с учетной записью пользователя, имеющей как минимум права Shop manager. Затем злоумышленник создает специально созданную строку, которая превратится в внедрение PHP-объекта, включающее использование кешированных запросов в includes/shortcodes/class-wc-shortcode-products.php WC_Shortcode_Products::get_products() внутри шорткодов.
CVE-2018-20714Система ведения журналов плагина Automattic WooCommerce до 3.4.6 для WordPress уязвима для уязвимости удаления файлов. Это позволяет удалять woocommerce.php, что приводит к тому, что определенные проверки привилегий не выполняются, и, следовательно, менеджер магазина может повысить свои привилегии до администратора.
CVE-2026-3589Плагин WooCommerce WordPress от версий 5.4.0 до 10.5.2 не обрабатывает должным образом пакетные запросы, что может позволить неаутентифицированным пользователям совершать входные в админ-звонках не store/WC REST конечные точки, например, и создавать произвольных пользователей администратора с помощью атаки CSRF.
CVE-2025-15033Уязвимость в WooCommerce 8.1-10.4.2 может позволить зарегистрированным клиентам получать доступ к данным о заказах гостей на сайтах с определенной конфигурацией. Это было исправлено в WooCommerce 10.4.3, а также во всех ранее затронутых версиях через точечных релизы, начиная с 8.1, где он был зафиксирован в 8.1.3. Это не влияет на WooCommerce 8.0 или ранее.
CVE-2025-5062Плагин WooCommerce для WordPress уязвим к межсайтовому скриптингу на основе PostMessage через страницу 'customize-store' во всех версиях до 9.4.2 включительно из-за недостаточной проверки входных данных и экранирования выходных данных PostMessage. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницах, которые выполняются при успешном обмане пользователя [1]. В версии 9.4.3 была исправлена уязвимость путем валидации и санитаризации данных события и проверки происхождения события при прослушивании сообщений от функции attachParentListeners [2].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/cc2ee5bb-eeb8-4134-8f3f-b411e56457f0?source=cve
- [2] https://github.com/woocommerce/woocommerce/blob/08dbc3b7dea140dd5dc19ee9c9ecd47dac0605b6/plugins/woocommerce/client/admin/client/customize-store/utils.js#L39C1-L56C2
- [3] https://developer.woocommerce.com/2024/12/03/woocommerce-9-4-3-and-woocommerce-9-3-4-available-now/
- [4] https://github.com/woocommerce/woocommerce/pull/53405/files
CVE-2024-9944Плагин WooCommerce для WordPress подвержен внедрению HTML во всех версиях до 9.0.2 включительно. Это связано с тем, что плагин неправильно нейтрализует HTML-элементы из отправленных форм заказа. Это позволяет не прошедшим проверку подлинности злоумышленникам внедрять произвольный HTML, который будет отображаться, когда администратор просматривает отправленные формы заказа.
CVE-2019-9168WooCommerce до версии 3.5.5 допускает XSS через заголовок Photoswipe.
CVE-2015-2329Уязвимость межсайтового скриптинга (XSS) в плагине WooCommerce до 2.3.6 для WordPress позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданный заказ.
CVE-2025-49042Неправильное нейтрализация ввода во время генерации веб-страниц («Cross-site Scripting») в автоматической WooCommerce woocommerce позволяет хранить XSS.Эта проблема затрагивает WooCommerce: от n/a до <= 10.0.2.
CVE-2025-26762Уязвимость неправильной нейтрализации ввода при генерации веб-страниц ('Межсайтовый скриптинг') в Automattic WooCommerce позволяет осуществлять хранимый XSS. Эта проблема затрагивает WooCommerce: с n/a до 9.7.0.
CVE-2024-39666Неправильная нейтрализация входных данных во время генерации веб-страницы (XSS или межсайтовый скриптинг) в Automattic WooCommerce. Эта проблема затрагивает WooCommerce: от n/a до 9.1.2.
CVE-2024-37297WooCommerce — это платформа электронной коммерции с открытым исходным кодом, построенная на WordPress. Уязвимость, появившаяся в WooCommerce 8.8, допускает межсайтовый скриптинг. Злоумышленник может манипулировать ссылкой, чтобы включить в нее вредоносный HTML-код и контент JavaScript. Хотя контент не сохраняется в базе данных, ссылки могут быть отправлены жертвам в злонамеренных целях. Внедренный JavaScript может захватить контент и данные, хранящиеся в браузере, включая сессию. Контент URL считывается через библиотеку `Sourcebuster.js`, а затем вставляется без надлежащей очистки в классические формы оформления заказа и регистрации. Версии 8.8.5 и 8.9.3 содержат исправление этой проблемы. В качестве обходного пути можно отключить функцию атрибуции заказа.
CVE-2023-7320Плагин WooCommerce для WordPress уязвим для чувствительной информации в версиях до 7.8.2 и включающих в себя из-за неправильной обработки CORS на конечных точках REST API Store, что позволяет осуществлять прямой внешний доступ от любого происхождения. Это может позволить неаутентифицированным злоумышленникам извлекать конфиденциальную информацию о пользователе, включая PII (Идентифицируемая личная информация).
CVE-2020-29156Плагин WooCommerce до версии 4.7.0 для WordPress позволяет удаленным злоумышленникам просматривать статус произвольных заказов через параметр order_id в действии fetch_order_status.
CVE-2024-1310WordPress плагин WooCommerce до версии 8.6 не предотвращает утечку информации о продуктах, к которым у пользователей с ролью не ниже участника нет доступа (например, о частных, черновых и удаленных продуктах).
CVE-2021-32790Woocommerce - это плагин электронной коммерции с открытым исходным кодом для WordPress. Уязвимость SQL-инъекции затрагивает все сайты WooCommerce, использующие плагин WooCommerce версии от 3.3.0 до 3.3.6. Злоумышленники, уже имеющие административный доступ или ключи API к сайту WooCommerce, могут использовать уязвимые конечные точки `/wp-json/wc/v3/webhooks`, `/wp-json/wc/v2/webhooks` и другие API-интерфейсы списка веб-перехватчиков. С помощью этого эксплойта можно выполнять SQL-запросы только для чтения, в то время как данные не будут возвращены, путем тщательной разработки информации о параметре `search` можно раскрыть информацию с помощью атак по времени и связанных атак. Версия 3.3.6 - самая ранняя версия Woocommerce с патчем для этой уязвимости. Обходных путей, кроме обновления, не существует.
CVE-2023-32575Аутентифицированный (администратор+) Stored Cross-Site Scripting (XSS) уязвимость в плагине PI Websolution Product page shipping calculator for WooCommerce <= 1.3.25 версий.
CVE-2022-2099Плагин WooCommerce WordPress до версии 6.6.0 уязвим для сохраненной HTML-инъекции из-за отсутствия экранирования и очистки в названиях платежных шлюзов.
CVE-2021-24323Когда налоги включены, поле "Additional tax classes" неправильно обрабатывалось или экранировалось перед выводом обратно в панели администратора, позволяя пользователям с высокими привилегиями, таким как администратор, использовать XSS полезные нагрузки, даже когда unfiltered_html отключен.
CVE-2016-10112Уязвимость межсайтового скриптинга (XSS) в плагине WooCommerce до версии 2.6.9 для WordPress позволяет удаленным аутентифицированным администраторам внедрять произвольный веб-скрипт или HTML, предоставляя специально созданные значения таблицы налоговых ставок в формате CSV.
CVE-2024-22155Уязвимость Cross-Site Request Forgery (CSRF) в Automattic WooCommerce. Эта проблема затрагивает WooCommerce: от n/a до 8.5.2.
CVE-2022-0775Плагин WooCommerce WordPress до версии 6.2.1 не имеет надлежащей проверки авторизации при удалении отзывов, что может позволить любому аутентифицированному пользователю, например подписчику, удалять произвольные комментарии.
CVE-2024-35777Некорректная нейтрализация специальных элементов в выходных данных, используемых подчиненным компонентом («Injection»), в Automattic WooCommerce допускает подмену контента. Эта проблема затрагивает WooCommerce: от n/a до 8.9.2.