CVE-2026-10041 in WCFM Plugin
Zusammenfassung
von VulDB • 11.07.2026
Das WordPress-Plugin WCFM – Frontend Manager for WooCommerce ist in allen Versionen bis einschließlich 6.7.27 anfällig für Insecure Direct Object Reference (IDOR) über die Funktion wcfm_product_archive, da eine Validierung eines benutzerkontrollierten Schlüssels fehlt. Dies ermöglicht es authentifizierten Angreifern mit Abonnenten-Level-Zugriff und höher, Produkte beliebiger Anbieter zu archivieren, den „Featured“-Status bei beliebigen Einträgen umzuschalten, beliebige WooCommerce-Bestellungen als abgeschlossen zu markieren sowie Anfragen und Massen-Nachrichten anderer Anbieter dauerhaft zu löschen.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.