# CVE-2026-4001 - WooCommerce Custom Product Addons Pro RCE via Injeção de Código PHP (CVSS 9.8) > [!high] CVSS 9.8 - Crítico - RCE sem Autenticação em Lojas WooCommerce > Remote Code Execution via injeção de código PHP (CWE-95) no plugin **WooCommerce Custom Product Addons Pro** versões até 5.4.1. A função de fórmula de preço personalizada não sanitiza a entrada do usuário, permitindo execução de código PHP arbitrário no servidor sem autenticação. Nenhum patch disponível. ## Visão Geral CVE-2026-4001 é uma vulnerabilidade crítica de **Remote Code Execution (RCE)** por avaliação insegura de código (CWE-95) no plugin [[WordPress]] **WooCommerce Custom Product Addons Pro**, afetando versões até 5.4.1. O ponto vulnerável é a função `process_custom_formula()`, responsável por calcular preços personalizados de produtos a partir de campos de formulário público. A entrada do usuário é avaliada diretamente como código PHP sem restrições ou sanitização adequada, permitindo que qualquer visitante — sem autenticação — injete e execute código arbitrário no servidor. O impacto potencial abrange exfiltração de dados de e-commerce (PII, dados de pagamento, histórico de pedidos), instalação de web shells para persistência e, em ambientes de hospedagem compartilhada, comprometimento lateral de outros sites. Diferentemente de CVEs similares como CVE-2026-2296 (que exige privilégio de Shop Manager), esta falha não requer credenciais, aumentando significativamente o risco operacional. A técnica de exploração é classificada como [[t1190-exploit-public-facing-application|T1190]] combinada com [[t1059-command-scripting-interpreter|T1059.004]] para execução via interpretador PHP. > [!latam] Relevância LATAM > O [[WordPress]] com [[WooCommerce]] é a plataforma de e-commerce dominante no Brasil, adotada por milhares de lojas dos setores [[retail|varejo]] e [[technology|tecnologia]]. A ausência de patch e a exploitabilidade sem autenticação criam risco elevado para dados de consumidores brasileiros protegidos pela **LGPD**. Operadores de lojas online devem desativar o plugin imediatamente até disponibilização de correção. ## Resumo ```mermaid graph TB A["🔍 CVE-2026-4001 · CVSS 9.8<br/>WooCommerce Plugin - PHP RCE"] --> B["🎯 Acessar Loja WooCommerce<br/>Campo de fórmula de preço<br/>público sem autenticação"] B --> C["💥 Injeção de Código PHP<br/>process_custom_formula()<br/>sem sanitização de input"] C --> D["🔧 Execução PHP no Servidor<br/>Código arbitrário executado<br/>contexto do servidor web"] D --> E["🔧 Acesso ao Sistema<br/>Leitura de arquivos sensíveis<br/>instalação de web shell"] E --> F["💀 Comprometimento do E-commerce<br/>Dados de pagamento exfiltrados<br/>backdoor persistente"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` **CVE-2026-4001** é uma vulnerabilidade crítica de **Remote Code Execution (RCE)** por injeção de código (CWE-95) no plugin **WooCommerce Custom Product Addons Pro** para WordPress, afetando versões até 5.4.1. A falha está na função `process_custom_formula()`, que processa fórmulas de precificação personalizadas submetidas via campos de formulário público sem sanitização adequada antes de avaliar a expressão - permitindo a injeção de código PHP arbitrário. Diferentemente de vulnerabilidades similares em plugins WooCommerce (como CVE-2026-2296, que requer privilégio de Shop Manager), esta falha tem potencial de exploração por atacantes **sem autenticação** via campos de formulário públicos em lojas WooCommerce, elevando significativamente o risco para lojas de e-commerce. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **~55%** de probabilidade de exploração nos próximos 30 dias (públicado hoje) - CISA KEV: **não listado** - Patch: **sem patch confirmado** no momento da públicação (2026-03-24) ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **Execução de código PHP arbitrário no servidor**: via avaliação insegura de entrada do usuário na função de fórmula de preço - **Comprometimento da loja WooCommerce**: acesso a dados de pedidos, clientes, tokens de pagamento e informações pessoais - **Instalação de web shell**: persistência no servidor para acesso remoto contínuo - **Exfiltração de dados de e-commerce**: PII, dados de pagamento, histórico de pedidos - **Comprometimento do servidor hosting**: escalada para outros sites em ambientes de hospedagem compartilhada **Vetor técnico:** A função `process_custom_formula()` avalia expressões para calcular preços personalizados de produtos. A entrada vinda de campos de formulário público não é restrita a operações matemáticas - um atacante pode injetar código PHP arbitrário como valor do campo, que será avaliado pelo servidor sem restrições. **Impacto para organizações LATAM/Brasil:** WooCommerce é a plataforma de e-commerce mais popular do Brasil, utilizada por milhares de lojas. Plugins de addons com precificação customizada são amplamente adotados em lojas dos setores [[retail]] e [[technology]]. Sem patch disponível, todas as instâncias com o plugin ativo estão em risco. O impacto potencial para dados de consumidores brasileiros é elevado (LGPD relevante). ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | (Plugin WP) | WooCommerce Custom Product Addons Pro | <= 5.4.1 | Aguardando patch | **Não afetado:** plugin não instalado ou desativado; sites sem campos de fórmula de preço personalizada configurados. ## Patch e Mitigação **Status do patch:** Sem patch oficial disponível (2026-03-24 - públicado hoje no NVD). **Mitigações imediatas recomendadas:** 1. **Desativar o plugin** até que um patch esteja disponível, se possível operacionalmente 2. Verificar se há campos com fórmulas de preço personalizada configurados e removê-los temporariamente 3. Implementar regra de WAF para bloquear requisições com código PHP em campos de formulário 4. Monitorar logs do servidor por execução inesperada de código no contexto de fórmulas de produto 5. Isolar o servidor web com regras de egress restritivas para limitar blast radius em caso de exploração **Monitoramento:** - Acompanhar o repositório WordPress.org / site do vendor para disponibilidade de patch - Monitorar threat feeds nas próximas 24-48h para evidências de exploração em massa ## Exploração Ativa **Status atual:** Sem evidência de exploração ativa confirmada (públicado hoje - 2026-03-24) **Análise de risco:** - CWE-95 (avaliação insegura de código) é classe de alta exploitabilidade - PoC simples de implementar - CVSS 9.8 com vetor de rede sem autenticação indica risco máximo - Ausência de patch aumenta janela de exposição - Monitorar threat feeds nas próximas 24-48h para evidências de scanning/exploração em massa ## CISA KEV Esta vulnerabilidade **não está listada** no CISA KEV Catalog. Monitorar possível adição nas próximas semanas dado CVSS 9.8 e vetor sem autenticação. ## Notas Relacionadas **CVEs relacionados:** CVE-2026-2296 (WooCommerce Plugin injeção de código, autenticado) **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] · [[t1059-command-scripting-interpreter|T1059-command-scripting-interpreter]] **Setores em risco:** [[retail]] · [[technology]] · [[financial]] ## Referências - [NVD - CVE-2026-4001](https://nvd.nist.gov/vuln/detail/CVE-2026-4001)