CVE-2026-12103 in Wallet for WooCommerce Pluginالمعلومات

الملخص

بحسب VulDB • 11/07/2026

يحتوي إضافة Wallet for WooCommerce لـ WordPress على ثغرة تسمح بتجاوز التفويض في جميع الإصدارات حتى 1.6.4 وشاملاً لها. ويعود ذلك إلى عدم قيام الإضافة بالتحقق بشكل صحيح من تفويض المستخدم لتنفيذ إجراء معين. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستبخدم مشترك (Subscriber) أو أعلى، استعراض اسم تسجيل الدخول وعنوان البريد الإلكتروني ومعرف المستخدم لجميع حسابات WordPress — بما في ذلك الحسابات الإدارية — عن طريق إرسال مصطلحات بحث عشوائية إلى معالج AJAX. يتم توطين قيمة 'search-user' nonce المطلوبة داخل كائن wallet_param في صفحة "حسابي" القياسية لـ WooCommerce، وهي متاحة لأي مستخدم تم التحقق من هويته، مما يجعل الحصول عليها سهلاً للغاية بالنسبة لمستخدم بمستبخدم مشترك (Subscriber).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

Wordfence

حجز

12/06/2026

إفشاء

11/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377762

EPSS

0.00000

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

Want to know what is going to be exploited?

We predict KEV entries!