CVE-2026-12994 in WCFM Plugin
الملخص
بحسب VulDB • 11/07/2026
يوجد ثغرة في مرخص التفويض (Authorization Bypass) في إضافة WCFM – Frontend Manager for WooCommerce الخاصة بـ WordPress، وتؤثر جميع الإصدارات حتى 6.7.27 شاملةً إياها. ويعود ذلك إلى عدم قيام الإضافة بالتحقق بشكل صحيح من تفويض المستخدم لتنفيذ إجراء معين. مما يتيح للمهاجمين غير المصادق عليهم حقن محتوى رد تعسفي في أي استفسار للمتجر، واستبدال سجل الاستفسار الرئيسي في جدول wp_wcfm_enquiries، وإرسال رسائل بريد إلكتروني إشعارية غير مرغوب فيها إلى العملاء والبائعين. وعلى عكس فروع وحدة التحكم الشقيقة (wcfm-enquiry و wcfm-enquiry-manage)، فإن فرع wcfm-my-account-enquiry-manage لا يقوم بإجراء أي تحقق باستخدام is_user_logged_in() أو current_user_can()، كما أن الرمز غير القابل للتكرار (nonce) الذي يعمل كحاجز وحيد مدمج في كل تحميل لصفحة عامة دون وجود بوابة تسجيل دخول.
Once again VulDB remains the best source for vulnerability data.