Košík je prázdný

Kritická chyba CVE-2026-54807 ohrožuje WordPress e-shopy s WooCommerce

V pluginu Registration Form for WooCommerce byla objevena kritická bezpečnostní chyba označená jako CVE-2026-54807. Zranitelnost může neautentizovanému útočníkovi umožnit získat administrátorská oprávnění a následně převzít kontrolu nad celým Wordpress webem.

Chyba získala hodnocení CVSS 9,8 z 10, a patří tak do nejvyšší kategorie kritických bezpečnostních rizik. Správcům dotčených webů doporučujeme provést aktualizaci okamžitě.

Zranitelné jsou všechny verze pluginu až do verze 1.0.9 včetně. Bezpečnostní oprava je podle zveřejněného doporučení obsažena ve verzi 1.1.0 a novější.

Plugin slouží k vytváření a úpravě registračních formulářů pro WooCommerce. Ve zranitelných verzích není správně zabezpečeno přidělování uživatelských rolí při registraci.

Útočník může bez předchozího přihlášení odeslat upravený registrační požadavek a získat vyšší oprávnění, než jaká by běžně měl nově registrovaný zákazník.

Podle databáze Wordfence může úspěšný útok vést až k vytvoření uživatele s rolí administrátora. Útočník k tomu nepotřebuje platný účet ani spolupráci správce webu.

 

Jak závažný může být útok

Získání administrátorského účtu zpravidla znamená úplnou kompromitaci WordPress webu. Útočník může například:

  • instalovat škodlivé pluginy nebo šablony,
  • měnit obsah webu a produktů,
  • získat přístup k objednávkám a zákaznickým údajům,
  • vytvořit další skryté administrátorské účty,
  • přesměrovat návštěvníky na podvodné stránky,
  • vložit do webu škodlivý JavaScript nebo PHP kód,
  • rozesílat spam a phishingové zprávy,
  • zneužít web k dalším útokům.

Ačkoliv je chyba evidována jako zvýšení oprávnění, nikoliv jako přímé vzdálené spuštění kódu, administrátorský přístup ve WordPressu může útočníkovi následné spuštění vlastního kódu umožnit.

 

Zranitelnost má následující vlastnosti:

  • útok lze provést vzdáleně přes internet,
  • není nutné předchozí přihlášení,
  • útok nevyžaduje interakci uživatele,
  • jeho technická náročnost je nízká,
  • může dojít k úplnému narušení důvěrnosti, integrity i dostupnosti webu.

Výsledné skóre je 9,8 z 10 – Critical.

 

Jak zranitelnost opravit

Majitelé webů používajících plugin Registration Form for WooCommerce by měli okamžitě provést aktualizaci minimálně na verzi:

 

Registration Form for WooCommerce 1.1.0

Patchstack uvádí verzi 1.1.0 jako opravenou a doporučuje přejít na ni nebo na jakoukoliv novější dostupnou verzi.

Pokud aktualizaci nelze provést, doporučujeme plugin ihned deaktivovat a odstranit. Pouhá deaktivace registračního formuláře v nastavení WooCommerce nemusí být dostatečnou ochranou, protože zranitelný kód pluginu může být stále dostupný prostřednictvím vlastních požadavků nebo endpointů.