Fuente base de datos: Wordfence Intelligence

Product Specifications for Woocommerce <= 0.8.9 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Attribute/Group Creation, Modification, and Deletion via 'dwps_modify_groups' and 'dwps_modify_attributes' AJAX Actions - version 0.8.10

PLUGIN MEDIUM CVE-2026-11364

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Product Specifications para WooCommerce, que permite a usuarios autenticados con rol de suscriptor o superior crear, modificar y eliminar atributos y grupos de forma arbitraria. Esta falla puede comprometer la integridad de los datos y la seguridad de la tienda online.

Contexto técnico

El fallo se encuentra en las acciones AJAX 'dwps_modify_groups' y 'dwps_modify_attributes', que carecen de la autorización adecuada. Esto permite que usuarios no autorizados realicen cambios en la configuración del plugin, afectando la gestión de productos.

Impacto potencial

El impacto en el negocio puede ser significativo, ya que la modificación no autorizada de atributos y grupos puede alterar la presentación de productos y afectar la experiencia del cliente. Desde el punto de vista de seguridad, esta vulnerabilidad puede ser explotada para llevar a cabo ataques más complejos.

Vector de explotación

La explotación de esta vulnerabilidad se realiza enviando solicitudes AJAX manipuladas que invocan las acciones vulnerables sin la debida autorización.

Mitigación recomendada

Actualizar el plugin Product Specifications a la versión 0.8.10 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario en la instalación de WooCommerce para limitar el acceso a funciones críticas. Implementar medidas de seguridad adicionales, como un firewall de aplicaciones web (WAF), para mitigar riesgos.

Señales de detección

Monitorear los registros de acceso para detectar solicitudes AJAX inusuales que intenten modificar atributos o grupos sin autorización.

Alcance afectado

Afecta a todas las versiones del plugin Product Specifications para WooCommerce hasta la 0.8.9. Las versiones posteriores no están afectadas.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 5.0.4 - Authenticated (Subscriber+) Insecure Direct Object Reference to Information Disclosure via 'id' Parameter

HIGH PLUGIN

adrotate

AdRotate Banner Manager <= 5.17.7 - Authenticated (Contributor+) PHP Code Injection via 'banner' Shortcode Attribute

MEDIUM PLUGIN

license-manager-for-woocommerce

License Manager for WooCommerce <= 3.0.15 - Unauthenticated Insecure Direct Object Reference

HIGH PLUGIN

woocommerce-abandon-cart-pro

Abandoned Cart Pro for WooCommerce <= 10.4.0 - Authenticated (Subscriber+) Privilege Escalation

MEDIUM PLUGIN

upi-qr-code-payment-for-woocommerce

UPI QR Code Payment Gateway for WooCommerce <= 1.6.2 - Missing Authorization

MEDIUM PLUGIN

paymob-for-woocommerce

Paymob for WooCommerce <= 4.1.2 - Missing Authorization

MEDIUM PLUGIN

woosquare

WC Shop Sync – Square Payment Gateway and Product Synchronization for WooCommerce <= 4.7.3 - Unauthenticated Information Exposure

MEDIUM PLUGIN

vitepos-lite

Vitepos – Point of Sale (POS) for WooCommerce <= 3.4.2 - Unauthenticated Information Exposure

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto