Tech Blog

2026-02-15 opencve vulnerability

Mehrere Schwachstellen (CVE-2026-1490, CVE-2026-1750) in Wordpress

⚠️ CVE-Referenzen: CVE-2026-1490 CVE-2026-1750

Zusammenfassung

Im WordPress-Plugin "Ecwid by Lightspeed Ecommerce Shopping Cart" bis einschließlich Version 7.0.7 existiert eine kritische Schwachstelle, die es authenticated Angreifern mit minimalen Rechten ermöglicht, durch Ausnutzung eines fehlenden Capability-Checks die Administratorrechte zu erlangen. Betreiber sollten das Plugin umgehend auf die neueste Version aktualisieren, um die Sicherheitslücke (CVE-2026-1750) zu schließen.

The Ecwid by Lightspeed Ecommerce Shopping Cart plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 7.0.7. This is due to a missing capability check in the 'save_custom_user_profile_fields' function. This makes it possible for authenticated attackers, with minimal permissions such as a subscriber, to supply the 'ec_store_admin_access' parameter during a profile update and gain store manager access to the site.
Quelle: app.opencve.io
Auch berichtet von: securityvulnerability.io
Originalartikel lesen →
← Zurück zur Übersicht