CVE-2026-4001: Krytyczna podatność w WordPress Woocommerce Custom Product Addons Pro - natychmiastowa aktualizacja wymagana

Podsumowanie

Parametr	Wartość
CVE ID	CVE-2026-4001
Źródło alertu	GitHub Advisory - Krytyczna podatność
Rok publikacji CVE	2026
Data publikacji	2026-03-24

---

title: “CVE-2026-4001: Krytyczna podatność w WordPress Woocommerce Custom Product Addons Pro - natychmiastowa aktualizacja wymagana” description: “Alert bezpieczeństwa - CVE-2026-4001 (WordPress Woocommerce Custom Product Addons Pro). CVSS: 9.8 (Krytyczny). EPSS: 0%. ” excerpt: “The Woocommerce Custom Product Addons Pro plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 5.4.1 via the custom pricing formula eval() in the process_c…” publishDate: 2026-03-24 author: “marcin_godula” category: “Alerty bezpieczeństwa” lang: “pl” tags: [“cve-2026-4001”,“critical”,“wordpress”,“woocommerce custom product addons pro”,“podatnosc”] severity: “critical” cvssScore: 9.8 cveID: “CVE-2026-4001” cveYear: 2026 vendor: “WordPress” product: “Woocommerce Custom Product Addons Pro” cisaKEV: false ransomwareUse: false epssScore: 0.00139 epssPercentile: 0.33741 alertSource: “ghsa-critical” dueDate: "" translationSlug: “2026-03-24-cve-2026-4001”

Podsumowanie

Parametr	Wartość
CVE ID	CVE-2026-4001
Źródło alertu	GitHub Advisory - Krytyczna podatność
Rok publikacji CVE	2026
Data publikacji	2026-03-24
Producent	WordPress
Produkt	Woocommerce Custom Product Addons Pro
CVSS Score	9.8 (Krytyczny)
EPSS Score	0.1% (percentyl: 34%)
CISA KEV	Nie
Ransomware	Nie potwierdzono

Opis podatności

Źródło: NVD

The Woocommerce Custom Product Addons Pro plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 5.4.1 via the custom pricing formula eval() in the process_custom_formula() function within includes/process/price.php. This is due to insufficient sanitization and validation of user-submitted field values before passing them to PHP’s eval() function. The sanitize_values() method strips HTML tags but does not escape single quotes or prevent PHP code injecti…

Wymagane działania

Apply vendor patches or mitigations as soon as available.

Kogo dotyczy?

Podatność dotyczy produktu Unknown firmy Unknown. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.

Źródła

• NVD - CVE-2026-4001

• FIRST EPSS

---

Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.

| Produkt | Woocommerce Custom Product Addons Pro | | CVSS Score | 9.8 (Krytyczny) | | EPSS Score | 0.1% (percentyl: 34%) | | CISA KEV | Nie | | Ransomware | Nie potwierdzono |

Opis podatności

Źródło: NVD

The Woocommerce Custom Product Addons Pro plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 5.4.1 via the custom pricing formula eval() in the process_custom_formula() function within includes/process/price.php. This is due to insufficient sanitization and validation of user-submitted field values before passing them to PHP’s eval() function. The sanitize_values() method strips HTML tags but does not escape single quotes or prevent PHP code injecti…

Wymagane działania

Apply vendor patches or mitigations as soon as available.

Kogo dotyczy?

Podatność dotyczy produktu Unknown firmy Unknown. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.

Źródła

• NVD - CVE-2026-4001

• FIRST EPSS

---

Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.