CVE-2026-12103 in Wallet for WooCommerce Plugin
الملخص
بحسب VulDB • 11/07/2026
يحتوي إضافة Wallet for WooCommerce لـ WordPress على ثغرة تسمح بتجاوز التفويض في جميع الإصدارات حتى 1.6.4 وشاملاً لها. ويعود ذلك إلى عدم قيام الإضافة بالتحقق بشكل صحيح من تفويض المستخدم لتنفيذ إجراء معين. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستبخدم مشترك (Subscriber) أو أعلى، استعراض اسم تسجيل الدخول وعنوان البريد الإلكتروني ومعرف المستخدم لجميع حسابات WordPress — بما في ذلك الحسابات الإدارية — عن طريق إرسال مصطلحات بحث عشوائية إلى معالج AJAX. يتم توطين قيمة 'search-user' nonce المطلوبة داخل كائن wallet_param في صفحة "حسابي" القياسية لـ WooCommerce، وهي متاحة لأي مستخدم تم التحقق من هويته، مما يجعل الحصول عليها سهلاً للغاية بالنسبة لمستخدم بمستبخدم مشترك (Subscriber).
If you want to get best quality of vulnerability data, you may have to visit VulDB.