Критична уразливість обходу автентифікації в плагіні Hippoo Mobile App для WooCommerce

Критична уразливість обходу автентифікації в плагіні Hippoo Mobile App для WooCommerce дозволяє зловмисникам отримати адміністративний доступ до WordPress-сайтів.
CVE-2026-10580CVSS 9.8CMS

Критична уразливість обходу автентифікації в плагіні Hippoo Mobile App для WooCommerce

Критична уразливість обходу автентифікації в плагіні Hippoo Mobile App для WooCommerce дозволяє зловмисникам отримати адміністративний доступ до WordPress-сайтів.

CVSS
9.8 CRITICAL
EPSS
84.95%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Плагін Hippoo Mobile App для WooCommerce у WordPress має критичну уразливість обходу автентифікації, що дозволяє неавторизованим користувачам отримати повний адміністративний доступ. Уразливість пов’язана з логічною помилкою в обробці прав користувачів, що дозволяє скинути пароль будь-якого користувача, включно з адміністратором.

Бізнес-вплив

Ця уразливість створює серйозну загрозу безпеці сайтів на WordPress із встановленим плагіном Hippoo Mobile App для WooCommerce, оскільки зловмисники можуть отримати повний контроль над сайтом без автентифікації. Це може призвести до компрометації даних, втрати контролю над сайтом та порушення бізнес-процесів. Власникам інфраструктури слід розглядати цю загрозу як критичну та пріоритетну для усунення.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно перевірити наявність оновлень плагіна Hippoo Mobile App для WooCommerce від розробника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до REST API, переглянути журнали доступу на предмет підозрілої активності та розглянути тимчасове відключення плагіна. Важливо також посилити моніторинг безпеки та підвищити обізнаність користувачів про можливі атаки.

Джерела