WordPress - CVE-2026-4001
Date de publication :
Il s'agit d'une vulnérabilité dans la fonction process_custom_formula() du fichier includes/process/price.php du plugin.
WooCommerce Custom Product Addons Pro est un plugin WordPress pour WooCommerce qui permet d'ajouter des champs personnalisés sur les pages produits, notamment des formules de tarification dynamique calculées côté serveur à partir des valeurs saisies par l'utilisateur.
Les valeurs soumises par l'utilisateur via un champ texte WCPA configuré avec une formule de tarification personnalisée (pricingType: "custom" avec this.value) sont traitées par la méthode sanitize_values(), qui se limite à supprimer les balises HTML sans échapper les guillemets simples ni bloquer l'injection de code PHP. Ces valeurs sont ensuite passées directement à la fonction PHP eval() sans assainissement suffisant. Un attaquant non authentifié soumet une valeur forgée dans ce champ public pour faire exécuter du code PHP arbitraire par le serveur.
Elle permet à un attaquant non authentifié d'exécuter du code arbitraire sur le serveur hébergeant le site WordPress.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Exécution de code arbitraire (à distance)
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-95 : Improper Neutralization of Directives in Dynamically Evaluated Code (Eval Injection)
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
WooCommerce Custom Product Addons Pro versions 5.4.1 et antérieures.