CVE-2026-10580

Nome do Software Vulnerável e Versões Afetadas Hippoo Mobile App for WooCommerce versões anteriores a 1.9.5

Descrição Existe um bypass de autenticação que permite a tomada de controle de contas de administrador. O problema decorre de uma conflação de lógica na função get user permissions() dentro de HippooPermissions, que retorna o mesmo sentinela nulo tanto para administradores quanto para visitantes não autenticados. A função has role access() interpreta esse valor como acesso total de administrador, levando a override extension permission callback() a atribuir return true como o callback de permissão para todas as rotas REST do WordPress e WooCommerce clonadas sob o endpoint '/wc-hippoo/v1/ext/' por re register external routes(). Além disso, a guarda de pré-despacho block unauthorized access() falha ao bloquear usuários não autenticados devido ao mesmo erro de lógica. Isso permite que atacantes não autenticados invoquem endpoints REST principais sem credenciais, especificamente enviando uma requisição POST para '/wc-hippoo/v1/ext/wp/v2/users/' com a variável password no corpo da requisição para redefinir a senha de qualquer usuário, incluindo o administrador do site.

Recomendações Atualize para uma versão posterior a 1.9.4.