Woocommerce Custom Product Addons Pro 插件漏洞预警（CVE-2026-4001）

漏洞速览

漏洞编号：CVE-2026-4001
风险评分：9.8（严重）
首次披露：2026-03-23
最近更新：2026-03-23
软件类型：插件
软件标识：woo-custom-product-addons-pro
受影响版本：<= 5.4.1
修复版本：5.4.2
是否已修复：是

漏洞详情

WordPress 的 Woocommerce Custom Product Addons Pro 插件在 5.4.1 及之前所有版本中存在远程代码执行漏洞。该漏洞源于 includes/process/price.php 文件中 processcustomformula() 函数对自定义定价公式使用 eval()，而程序未对用户提交的字段值进行充分的消毒和验证。sanitize_values() 方法虽然会剥离 HTML 标签，但无法转义单引号或阻止 PHP 代码注入。攻击者无需认证，只需向配置了自定义定价公式的 WCPA 文本字段（pricingType 为 "custom" 并使用 {this.value}）提交精心构造的值，即可在服务器上执行任意代码。

影响与风险

漏洞类型：Unauthenticated Remote Code Execution via Custom Pricing Formula
风险说明：漏洞可能被利用以执行未授权操作，建议按官方修复方案立即升级并复核安全配置。
研究人员：Ren Voza

修复建议

按官方建议执行修复：更新至 5.4.2 或更高已修复版本。
复核 administrator/shop manager 等高权限账号与角色授权。
排查近期插件安装/配置变更记录，确认无异常写入。
建议配合 WAF 与登录审计，持续观察可疑请求。

延伸阅读

声明：1、本站大部分资源均为网络采集所得，仅供用来学习研究，请于下载后的24h内自行删除，正式商用请购买正版。2、所有汉化类文件和个别标注了“原创”的产品均为本站原创发布，任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。3、如若本站内容侵犯了原著者的合法权益，请携带相关版权文件联系我们进行下架或删除。4、虚拟下载类资源具有可复制性，一经下载后本站有权拒绝退款或更换其他商品！