CVE-2026-4094

Nome do Software Vulnerável e Versões Afetadas FOX – Currency Switcher Professional for WooCommerce versões anteriores a 1.4.6

Descrição O plugin está suscetível a perda de dados não autorizada porque a função admin head() carece de uma verificação de capacidade adequada. Usuários autenticados com nível de acesso Colaborador ou superior podem excluir toda a configuração de múltiplas moedas ao acessar qualquer página wp-admin com o parâmetro woocs reset. A ausência de verificação de nonce também permite que esta ação seja realizada via Cross-Site Request Forgery (CSRF) — uma técnica onde um invasor engana a vítima para realizar uma ação não pretendida — contra administradores. Além disso, usuários de nível Assinante podem explorar isso se a configuração do site permitir que eles acessem páginas wp-admin.

Recomendações Atualize o plugin para uma versão posterior a 1.4.5.