CVE-2026-12137: WooCommerce插件反射XSS漏洞公告

漏洞概述 漏洞名称: SysBasics Customize My Account for WooCommerce <= 4.3.6 - Reflected Cross-Site Scripting via 'tab' Parameter CVE ID: CVE-2026-12137 CVSS评分: 6.1 (Medium) 发布日期: June 17, 2026 最后更新日期: June 18, 2026 研究人员: Chloe Chamberland - Wordfence, PRISM 影响范围 软件类型: Plugin 软件Slug: customize-my-account-for-woocommerce 受影响版本: <= 4.3.6 修复版本: 4.3.7 修复方案 修复措施: 升级到版本 4.3.7 或更高版本。 漏洞描述 SysBasics Customize My Account for WooCommerce - Dashboard, Endpoints, Avatar & Menu Manager 插件在 4.3.6 版本及更早版本中存在反射型跨站脚本漏洞。该漏洞通过 'tab' 参数注入任意 Web 脚本，导致未授权攻击者可以在执行这些脚本的页面中注入恶意代码。由于漏洞插件的 函数仅在 WordPress 管理仪表板中运行，成功利用需要目标受害者以 Shop Manager 级别或更高权限登录。 参考链接 plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org 其他信息 免责声明: 本记录包含受版权保护的材料。 版权声明: - 2012-2026 Defiant Inc. - 1999-2026 The MITRE Corporation 联系方式 技术支持: 9am-8pm ET, 6am-5pm PT 和 2pm-1am UTC/GMT（不包括周末和节假日） 响应时间: 24小时支持，365天，1小时响应时间 其他漏洞 CVE-2026-12136: SysBasics Customize My Account for WooCommerce <= 4.3.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes CVE-2025-24592: SysBasics Customize My Account for WooCommerce <= 2.8.22 - Reflected Cross-Site Scripting CVE-2024-10837: SysBasics Customize My Account for WooCommerce <= 2.7.29 - Reflected Cross-Site Scripting via tab Parameter CVE-2023-51369: Customize My Account for WooCommerce <= 1.8.3 - Cross-Site Request Forgery via restore_my_account_tabs 总结 该漏洞是一个反射型跨站脚本漏洞，影响 SysBasics Customize My Account for WooCommerce 插件的 4.3.6 版本及更早版本。建议用户升级到 4.3.7 或更高版本以修复此漏洞。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-12137: WooCommerce插件反射XSS漏洞公告

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-12137: WooCommerce插件反射XSS漏洞公告

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！