CVE-2026-4140

Name of the Vulnerable Software and Affected Versions Ni WooCommerce Order Export versões anteriores a 3.1.7

Description Existe um problema onde a falta de validação de nonce na função de manipulador AJAX ni order export action() permite que atacantes não autenticados modifiquem as configurações do plugin por meio de uma solicitação forjada. O manipulador processa atualizações de configurações quando o parâmetro 'page' é definido como 'nioe-order-settings', delegando para Ni Order Setting::page ajax(), que chama update option('ni order export option', $ REQUEST) sem verificar nenhum nonce ou as capacidades do usuário. Isso pode ser explorado se um administrador do site for enganado para realizar uma ação, como clicar em um link.

Recommendations Atualize para uma versão posterior a 3.1.6.