CVE-2026-10580: Błąd uwierzytelniania w Hippoo Mobile App for WooCommerce umożliwia przejęcie konta administratora

Krytyczna luka w Hippoo Mobile App for WooCommerce pozwala na przejęcie konta administratora WordPress. Sprawdź zalecenia bezpieczeństwa i aktualizacje.
CVE-2026-10580CVSS 9.8CMS

CVE-2026-10580: Błąd uwierzytelniania w Hippoo Mobile App for WooCommerce umożliwia przejęcie konta administratora

Krytyczna luka w Hippoo Mobile App for WooCommerce pozwala na przejęcie konta administratora WordPress. Sprawdź zalecenia bezpieczeństwa i aktualizacje.

CVSS
9.8 CRITICAL
EPSS
84.95%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Hippoo Mobile App for WooCommerce dla WordPressa do wersji 1.9.4 zawiera krytyczną lukę umożliwiającą ominięcie uwierzytelniania i przejęcie konta administratora. Błąd wynika z nieprawidłowej obsługi uprawnień, co pozwala nieautoryzowanym użytkownikom na resetowanie haseł i pełną kontrolę nad stroną.

Wpływ biznesowy

Luka o wysokim poziomie zagrożenia (CVSS 9.8) pozwala atakującym na uzyskanie pełnych uprawnień administratora bez konieczności logowania. Może to prowadzić do całkowitego przejęcia witryny, modyfikacji treści, kradzieży danych lub instalacji złośliwego oprogramowania, co stanowi poważne ryzyko dla integralności i dostępności usług opartych na WordPress i WooCommerce.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Hippoo Mobile App for WooCommerce i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do endpointów REST API, monitorować logi pod kątem podejrzanych działań oraz rozważyć tymczasowe wyłączenie wtyczki. Priorytetem jest szybka reakcja w celu minimalizacji ryzyka przejęcia kontroli nad serwisem.

Źródła