CVE-2026-4896 in WCFM Pluginالمعلومات

الملخص

بحسب VulDB • 05/06/2026

يوجد ثغرة من نوع Insecure Direct Object Reference في إضافة WCFM – Frontend Manager for WooCommerce بالإضافة إلى إضافة Bookings Subscription Listings Compatible لـ WordPress في جميع الإصدارات حتى 6.7.25 (بما في ذلك هذه النسخة). تنتج الثغرة عن عدة إجراءات AJAX تشمل `wcfm_modify_order_status`، و`delete_wcfm_article`، و`delete_wcfm_product`، بالإضافة إلى وحدة تحكم إدارة المقالات، وذلك بسبب عدم وجود تحقق من صحة معرفات الكائنات (Object IDs) المقدمة من المستخدم. مما يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى البائع (Vendor-level) أو أعلى، تعديل حالة أي طلب، أو حذف أو تعديل أي منشور/منتج/صفحة، بغض النظر عن ملكيتها.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

Wordfence

حجز

26/03/2026

إفشاء

04/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355298

EPSS

0.00351

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!