CVE-2026-10580: Błąd uwierzytelniania w Hippoo Mobile App for WooCommerce umożliwia przejęcie konta administratora
Krytyczna luka w Hippoo Mobile App for WooCommerce pozwala na przejęcie konta administratora WordPress. Sprawdź zalecenia bezpieczeństwa i aktualizacje.
- CVSS
- 9.8 CRITICAL
- EPSS
- 84.95%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Hippoo Mobile App for WooCommerce dla WordPressa do wersji 1.9.4 zawiera krytyczną lukę umożliwiającą ominięcie uwierzytelniania i przejęcie konta administratora. Błąd wynika z nieprawidłowej obsługi uprawnień, co pozwala nieautoryzowanym użytkownikom na resetowanie haseł i pełną kontrolę nad stroną.
Wpływ biznesowy
Luka o wysokim poziomie zagrożenia (CVSS 9.8) pozwala atakującym na uzyskanie pełnych uprawnień administratora bez konieczności logowania. Może to prowadzić do całkowitego przejęcia witryny, modyfikacji treści, kradzieży danych lub instalacji złośliwego oprogramowania, co stanowi poważne ryzyko dla integralności i dostępności usług opartych na WordPress i WooCommerce.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Hippoo Mobile App for WooCommerce i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do endpointów REST API, monitorować logi pod kątem podejrzanych działań oraz rozważyć tymczasowe wyłączenie wtyczki. Priorytetem jest szybka reakcja w celu minimalizacji ryzyka przejęcia kontroli nad serwisem.