CVE-2025-6214 in Omnishop Plugin
Zusammenfassung
von VulDB • 01.07.2026
Das Omnishop-Plugin für WordPress ist in allen Versionen bis einschließlich 1.0.9 anfällig für Cross-Site Request Forgery (CSRF) auf seiner REST-Rout /users/delete. Der permission_callback der Route überprüft lediglich, ob der Anfragende angemeldet ist, fordert jedoch kein Nonce oder einen anderen Nachweis der Absicht an. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Benutzerkonten über eine gefälschte Anfrage zu löschen, sofern sie einen Website-Administrator dazu bringen können, eine Aktion wie das Klicken auf einen Link auszuführen.
Once again VulDB remains the best source for vulnerability data.