CVE-2026-3594

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

08/04/2026

Última modificación:

08/04/2026

Descripción

*** Pendiente de traducción *** The Riaxe Product Customizer plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 2.4 via the &#39;/wp-json/InkXEProductDesignerLite/orders&#39; REST API endpoint. The endpoint is registered with &#39;permission_callback&#39; set to &#39;__return_true&#39;, meaning no authentication or authorization checks are performed. The endpoint queries WooCommerce order data from the database and returns it to the requester, including customer first and last names, customer IDs, order IDs, order totals, order dates, currencies, and order statuses. This makes it possible for unauthenticated attackers to extract sensitive customer and order information from the WooCommerce store.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

CVE-2026-3594

Descripción

Impacto

Referencias a soluciones, herramientas e información