Apa yang terjadi
Motive Commerce Search (AI Product Search for WooCommerce), sebuah plugin yang menyediakan pencarian produk semantik bertenaga AI untuk toko WooCommerce, mengandung kerentanan broken access control yang tidak terautentikasi dalam versi hingga dan termasuk 1.38.2. Dipublikasikan 15 Juni 2026 (CVSS 8.2 HIGH). Penyerang jarak jauh yang tidak terautentikasi dapat mengakses fungsionalitas plugin yang dibatasi.
Mengapa penting
Plugin pencarian bertenaga AI untuk e-commerce sering menangani data indeks pencarian sensitif, katalog produk, dan dapat menyimpan kunci API untuk layanan pencarian AI eksternal. Bypass kontrol akses yang tidak terautentikasi dapat mengekspos konfigurasi pencarian, riwayat kueri pelanggan, atau memungkinkan manipulasi indeks pencarian AI untuk menampilkan hasil produk yang curang atau berbahaya kepada pembeli.
Vektor serangan
Penyerang jarak jauh yang tidak terautentikasi memanfaatkan pemeriksaan kontrol akses yang hilang atau tidak diimplementasikan dengan benar dalam endpoint plugin untuk memanggil fungsi administratif atau konfigurasi mesin pencari AI yang dibatasi tanpa kredensial apa pun.
Sistem yang terdampak
AI Product Search for WooCommerce – Motive Commerce Search ≤ 1.38.2
Mitigasi
Perbarui Motive Commerce Search ke versi 1.38.3 atau yang lebih baru. Advisory: https://patchstack.com/database/wordpress/plugin/motive-commerce-search/vulnerability/wordpress-ai-product-search-for-woocommerce-motive-commerce-search-plugin-1-38-2-broken-access-control-vulnerability