关键漏洞信息 漏洞详情 漏洞ID: CVE-2026-1929 CVSS评分: 8.8 (高危) 漏洞类型: 代码注入 (Code Injection) 发布日期: 2024年2月24日 最后更新: 2024年2月25日 研究人员: Osvaldo Noe Gonzalez Del Rio (Os) - cyberdogzmarketing.com 影响范围 受影响的版本: <= 2.36 修复版本: 2.37 插件名称: Advanced Woo Labels – Product Labels & Badges for WooCommerce 描述 Advanced Woo Labels插件对于WordPress在所有版本(包括2.37)中都存在远程代码执行漏洞。这是由于 AJAX处理器中使用了 且未对用户控制的回调和参数进行白名单许可或能力检查。这使得攻击者在具有贡献者及以上访问权限的情况下,可以通过 参数执行任意PHP函数和操作系统命令。 参考链接 plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org 修复建议 更新至版本2.37或更新的修复版本。